google home

Google Home, Alexa et Siri peuvent être contrôlé par un laser

Une équipe de chercheurs en sécurité informatique a découvert une technique pour injecter des commandes inaudibles et invisibles dans les appareils contrôlés vocalement, simplement en pointant un laser au lieu d’utiliser sa voix.

Nommé “Light Commands“, le piratage se repose sur une vulnérabilité des micros MEMS intégrés dans ces systèmes, ils répondent à la lumière comme si c’était du son.

Selon les expérimentations effectuées par les chercheurs, un pirate se tenant à quelques mètres de distance de l’appareil peut déclencher une attaque en modulant l’amplitude de la lumière d’un laser pour produire une onde de pression acoustique.

“En modulant un signal électrique dans l’intensité d’un faisceau lumineux, les pirates peuvent pousser les micros à produire des signaux électriques comme s’il recevait des données audio,” ont déclaré les chercheurs dans leur papier [PDF].

Les assistants intelligents tels que Google Home, Nest Cam IQ, Alexa, Echo, Facebook Portal, Siri, sont tous vulnérables à ce type d’attaques.

“N’importe quel système qui utilise un micro MEMS et agit sans demander de confirmation à l’utilisateur pourrait être vulnérable,” ont déclaré les chercheurs.

Comme la technique permet aux pirates d’injecter des commandes en tant qu’utilisateur légitime, l’impact de l’attaque peut être calculé en se basant sur le niveau d’accès que votre assistant intelligent a sur les autres services et appareils connectés.

Les pirates pourraient donc prendre le contrôle de n’importe quel système intelligent rattaché aux assistants.

Comme montré dans la vidéo de démonstration ci-dessous: dans l’une de leurs expériences, les chercheurs ont simplement injecté la commande “OK Google, ouvre la porte du garage” à Google Home en pointant un faisceau laser en direction d’un assistant Google Home qui était connecté aux portes du garage.

Dans une seconde expérience, les chercheurs ont essayé la même commande mais depuis un autre immeuble, à environ 70 mètres de distances et à travers une fenêtre en verre.

Les chercheurs ont aussi réussi à tester leurs attaques contre une variété de smartphones qui utilisent des assistants intelligents, y compris l’iPhone XR, le Samsung Galaxy S9 et le Google Pixel 2 mais cela ne fonctionne que sur de courtes distances.

La portée maximum de l’attaque dépend de la puissance du laser, l’intensité de la lumière et la précision du faisceau. Les barrières physiques (ex:fenêtres) et l’absorption des ondes ultrasoniques dans l’air peut aussi réduire la portée de l’attaque.

Comment protéger vos Google Home et autres assistants similaires?

Pour l’instant, la seule façon de se protéger est d’empêcher la visibilité directe de votre assistant depuis l’extérieur et d’éviter de lui donner accès à des éléments auxquels vous ne souhaitez pas que quelqu’un d’autre ait accès.

Google Home

Les chercheurs, Takeshi Sugawara de l’Université d’Electro-Communications au Japon ainsi que Mr. Fu, Daniel Genkin, Sara Rampazzi et Benjamin Cyr de l’université du Michigan, ont aussi partagé leur papier de recherche [PDF].

Genkin était aussi l’un des chercheurs qui avaient découvert les deux vulnérabilités de microprocesseurs, Meltdown et Spectre.