Smartphone có thể bị kích hoạt trợ lý ảo (Google Assistant hay Apple Siri) từ xa bằng sóng siêu âm để tự động thực hiện các hành động khác nhau như gọi điện, đọc tin nhắn, chụp ảnh…
Nhóm nghiên cứu tại Đại học Washington (Mỹ) đã thực hiện việc tấn công trên chỉ với một thiết bị phát sóng siêu âm kết nối máy tính chạy phần mềm có tên Surfing Attack để ra lệnh.
Theo các nhà nghiên cứu, sóng siêu âm có thể truyền qua mặt bàn làm bằng kim loại, gỗ hoặc thủy tinh. Điều này có nghĩa là nếu đặt smartphone trên những chiếc bàn hoặc bề mặt tương tự làm bằng chất liệu này, nó có nguy cơ bị hack. Khả năng truyền sóng siêu âm của mặt bàn bằng nhựa kém hơn nên khó bị tấn công hơn.
Để thực hiện việc tấn công trên, đầu tiên các nhà nghiên cứu sẽ gắn micro (để nghe phản hồi của trợ lý ảo) và đầu dò điện áp vào mặt bàn. Sau đó, họ sử dụng máy tính chạy Surfing Attack để kích hoạt máy phát sóng siêu âm và ra lệnh cho trợ lý ảo. Khi đó, Assistant hoặc Siri sẽ nhận biết lệnh và tự thực hiện theo.
Trong video dưới đây, chiếc smartphone chạy Android bị tấn công có thể tự kích hoạt Assistant để gọi, chụp ảnh selfie, lấy mật mã trong SMS, đọc to SMS và điều chỉnh âm lượng một cách tự động.
Các nhà nghiên cứu đã thử nghiệm các vụ tấn công cùng một kịch bản với 17 điện thoại từ bốn hãng sản xuất, trong đó có Motorola G5, Motorola Z4, Pixel 1, Pixel 2 và Pixel 3, Samsung Galaxy S7, Galaxy S9, iPhone 5, 5s, 6 Plus và iPhone X, Xiaomi Mi5, Mi8, Mi8 Lite. Kết quả cho thấy, chỉ có Huawei Mate 9 và Galaxy Note10+ là không thành công. Theo các nhà nghiên cứu, nguyên nhân có thể là do thiết kế cong của mặt lưng máy khiến diện tích tiếp xúc giữa máy và mặt bàn giảm xuống, từ đó giảm khả năng bị tấn công.
Các nhà nghiên cứu khuyến cáo người dùng nên sử dụng ốp lưng dày, không nên đặt điện thoại tiếp xúc trực tiếp với bề mặt và tắt tính năng kích hoạt trợ lý ảo trên màn hình khóa để tránh nguy cơ bị tấn công bởi Surfing Attack.