Há uma lista crescente de maneiras pelas quais os dispositivos móveis podem ser hackeados, o que significa que precisamos estar cada vez mais vigilantes em relação à segurança. Mas agora mesmo algo tão inócuo quanto deixar o telefone em cima de uma mesa pode resultar em uma invasão. Pesquisadores acabaram de demonstrar que alguém pode obter acesso ao seu telefone invadindo seu assistente inteligente por meio de comandos de voz inaudíveis aos seres humanos.

SurfingAttack, como é chamado o ataque, foi desenvolvido por uma equipe de pesquisadores da Universidade Estadual de Michigan, da Academia Chinesa de Ciências, da Universidade de Nebraska-Lincoln e da Universidade de Washington em St. Louis, Missouri. A pesquisa em si é detalhada em um artigo publicado recentemente. Essencialmente, se você já ouviu seu telefone vibrar alto em uma mesa quando o alarme silencioso dispara, você já experimentou como esse ataque funciona.



É necessário um hardware especial, mas o ingrediente principal é um transdutor piezoelétrico de US$ 5, capaz de gerar vibrações que ficam fora do alcance da audição humana. Quando conectado a um gerador de sinal e, em seguida, fixado a um pedaço fino de vidro ou metal que pode ser escondido debaixo de uma toalha de mesa, o transdutor pode emitir vibrações ultrassônicas, fazendo com que o material vibre e gere sons que as pessoas não podem ouvir. Os sons não são apenas tons; eles também podem ser palavras e instruções que os microfones sensíveis em dispositivos móveis podem detectar facilmente, acionando o assistente inteligente de um dispositivo quando ele é configurado para responder a comandos de voz.

Talvez você esteja pensando: “E daí? Os hackers podem usar meu telefone para checar a previsão do tempo, quem se importa?

Mas, infelizmente, os assistentes inteligentes se tornaram tão integrados aos sistemas operacionais de dispositivos móveis que os hackers podem fazer algumas truques bastante irritantes, como fazer chamadas de longa distância que rapidamente acumulam cobranças indesejadas e roubar mensagens de texto, o que poderia potencialmente permitir que hackers acessassem códigos de verificação se o seu número de telefone for usado como parte de um processo de verificação de dois fatores.

O processo SurfingAttack também conta com um microfone oculto nas proximidades para ouvir as respostas do assistente inteligente de um dispositivo de destino ou mensagens de texto que podem ser lidas em voz alta usando opções de viva-voz projetadas para serem mais seguras para os motoristas. Depois de fazer contato com um assistente inteligente, comandos adicionais podem ser transmitidos para reduzir o volume do smartphone, para que seja silencioso demais para alguém em um escritório movimentado ouvir o dispositivo tendo uma conversa unidirecional, permitindo que o ataque aconteça de forma despercebida por alguns minutos – talvez até mais, se o proprietário do dispositivo estiver distraído.

Alguns materiais funcionam melhor do que outros na condução dos sinais ultrassônicos para um dispositivo, mas os pesquisadores usaram uma placa de alumínio para fazer o SurfingAttack funcionar a uma distância de 9 metros, permitindo que o outro equipamento necessário seja facilmente escondido. No entanto, eles encontraram várias maneiras de impedir o ataque, além de desativar o recurso de sempre ouvir do assistente inteligente e exigir que ele seja acionado manualmente.

Toalhas de mesa mais grossas abafam os sinais ultrassônicos a ponto de os comandos de voz não conseguirem ser entendidos por um dispositivo, assim como as capas mais robustas de smartphones projetadas para proteger contra quedas e absorver impactos. E pensar que todos os seus amigos riram de você por usar uma capinha de telefone feia.