Falha permite acesso ao celular por meio de assistente virtual

Um grupo de pesquisadores de segurança encontrou uma vulnerabilidade nas assistentes virtuais inteligentes Siri, Bixby e Google Assistente. A brecha conhecida como SurfingAttack permite a invasão de celulares a partir de ondas ultrassônicas que reproduzem o comando do usuário para enganar o sistema. A falha possibilita que o invasor tire selfies, leia mensagens de SMS e faça chamadas fraudulentas.

Os cientistas realizaram testes em 17 smartphones de diferentes marcas e, dentre eles, apenas o Galaxy Note 10 e o Huawei Mate 9 não foram afetados.

👉 Celular com desconto: veja ofertas no Compare TechTudo
🔎 Samsung copia Apple e Google: Galaxy S20 traz chip especial de segurança

O estudo foi conduzido pelos pesquisadores da Universidade de Michigan, da Universidade de Nebraska-Lincoln e da Universidade de Washington em conjunto com a Academia Chinesa de Ciências. Eles descobriram que era possível adaptar os comandos de voz que acionam as assistentes virtuais em ondas ultrassônicas reconhecíveis pelos aparelhos.

As ondas ultrassônicas podem ser captadas pelos microfones de celulares e alto-falantes inteligentes, mas são inaudíveis pelo ouvido humano. Após serem recebidas pelo alvo, elas são convertidas em um pulso elétrico que é decodificado pelo aparelho, que então executa o comando recebido. Desse modo, os pesquisadores conseguiram acessar o smartphone para tirar fotos usando a câmera frontal, realizar chamadas e até ler torpedos, incluindo os códigos de verificação de dois fatores.

Emissor anexado abaixo da mesa transmite ondas ultrassônicas que invadem os dispositivos — Foto: Reprodução/Hack Read

Segundo os especialistas, para que o ataque funcione é preciso haver uma distância máxima de 45 centímetros entre o emissor de ondas e o dispositivo alvo. Além disso, o espaço não pode estar bloqueado por outros aparelhos e objetos, o que dissiparia as ondas.

As exigências para o SurfingAttack acontecer minimizam o risco de o usuário ficar exposto a um ataque remoto. No entanto, há um perigo real quando se está próximo deste emissor. Caso ele seja colocado abaixo de uma mesa, por exemplo, além de não haver materiais bloqueando as ondas ultrassônicas, o usuário provavelmente não irá perceber a presença do equipamento.

Os pesquisadores realizaram testes em 17 telefones. Foram adotados aparelhos de marcas como Apple, Google, Huawei, Motorola, Samsung e Xiaomi. Dentre eles, apenas o alto-falante Echo, da Amazon, e os smartphones Galaxy Note 10 e Huawei Mate 9 não foram afetados pelo ataque. Eles explicam que estes aparelhos resistiram porque foram construídos com materiais que atenuaram as ondas ultrassônicas.

Lista de smartphones invadidos pelo SurfingAttack — Foto: Reprodução/Hack Read

Como se prevenir

De acordo com os cientistas, o usuário pode se proteger ao optar por colocar capas grossas de madeira ou então bloquear o aparelho quando não estiver sendo usado. O grupo também sinaliza que é possível prevenir o ataque ao colocar um pano sobre o smartphone. A maneira mais eficaz, no entanto, é desativar a assistente virtual na tela de início.

No Android, basta acessar o Google Assistente e tocar no ícone da bússola. Depois, basta tocar em Configurações > Assistente > Dispositivos Assistentes > Telefone e então desativar os resultados pessoais na tela de bloqueio.

Para desativar no iPhone (iOS), acesse Ajustes > Face ID e Código ou Touch ID e Código (em modelos mais antigos) e em seguida, basta clicar no interruptor para desativar o acesso à Siri quando a tela estiver bloqueada.

Com informações da Forbes, Naked Security, Hack Read, Vice, Latest Hacking News e Phone Arena