Android e iPhone condividono una falla di sicurezza piuttosto grave, che permette di prendere il controllo dello smartphone a distanza senza installare malware. Secondo quanto scoperto da alcuni ricercatori francesi, infatti, basta una trasmittente radio per far fare allo smartphone qualsiasi cosa.

O, per meglio dire, qualsiasi cosa che si possa fare con Siri oppure Google Now, il che significa una lunga lista di comandi. Uniche condizioni affinché l'attacco vada a segno sono la distanza (per ora la portata è di poco meno di 5 metri) e che siano collegati gli auricolari con il cavo – quest'ultimo fa da antenna per ricevere il segnale radio. Devono essere auricolari con microfono integrato, ma non è un gran limite visto che sono inclusi nella confezione dello smartphone, e di fatto sono i più diffusi. L'opzione per i comandi vocali deve essere attivata.

Date le condizioni giuste, l'attaccante può codificare il comando nel segnale radio e trasmetterlo. Il filo degli auricolari (l'antenna) lo riceve e il software lo traduce in un comando audio. Si possono mandare SMS, effettuare chiamate, pubblicare sui social network, visitare siti web, avviare la riproduzione musicale e tanto altro, la lista è abbastanza lunga.

I ricercatori, José Lopes Esteves e Chaouki Kasmi, per il loro esperimento hanno usato un portatile e il software GNU Radio (radio software defined), un amplificatore e un'antenna. L'attrezzatura può stare tutta in un anonimo zainetto e per questo la portata è tanto limitata, ma si potrebbe usare qualcosa di più ingombrante e potente.

Nel video di presentazione si può vedere che l'esperimento è svolto all'interno di una gabbia di Faraday. Una scelta fatta solo per rispettare la legge francese che proibisce la trasmissione in certe frequenze, ma è ovvio che un eventuale criminale non si farebbe certi scrupoli.

Considerati i limiti il rischio non è dei più grandi, anche perché gli smartphone più recenti possono riconoscere l'impronta vocale del proprietario. Chi ha il telefono in mano, inoltre, potrebbe accorgersi di un comando misterioso e bloccarlo prima della sua esecuzione.

Detto questo, secondo i ricercatori si potrebbe nascondere l'equipaggiamento e lanciare l'attacco in mezzo alla folla, magari a bordo di un treno pieno di pendolari, o nel bar di un aeroporto. Basterebbe obbligare gli smartphone a visitare un certo sito web, e usare quest'ultimo per installare del malware. A quel punto si potrebbe fare un attacco di massa, contando sul fatto che almeno con qualcuno degli smartphone nei dintorni vada a segno.

Anche solo in qualche ora si potrebbero fare parecchi danni, per esempio facendo chiamare un costoso numero a pagamento, del quale poi si otterranno i profitti. La vittima si troverebbe addebitata la spesa, senza poter fare molto per recuperare il denaro.

Molti lettori di Tom's Hardware, in ogni caso, sapevano già che tenere attivi i comandi vocali anche con il telefono bloccato presenta qualche rischio. Gli attacchi visti finora, però, richiedevano l'accesso fisico al dispositivo; questa novità quindi aumenta un po' il livello di pericolo, pur non rappresentando una minaccia terribile.

I ricercatori hanno contattato Google ed Apple per suggerire alcune soluzioni, come schermare meglio i cavi degli auricolari, o permettere agli utenti di usare un comando personalizzato per attivare i comandi vocali e sostituire "Ok Google" (Android) e "Hey Siri" (iPhone). O, ancora, si potrebbe usare il riconoscimento della voce per bloccare i comandi di uno sconosciuto.