Det låter som science fiction, men det är faktiskt möjligt för hackare att attackera din telefon med ultraljud och låta röstassistenten göra saker åt dem utan att du ens märker det.
Hackarna ligger inte på latsidan, de utvecklar sina metoder och tekniker lika snabbt som teknologin i övrigt. I takt med att sårbarheter hittas och åtgärdas hittar närbrottslingarna nya hål att attackera.
Men ibland är det inte ”bara” ett nytt hål som skapar rubriker, utan en helt ny sorts attack. Det är precis vad som hände nyligen när en helt ny typ av metod, NUIT, upptäcktes. Det positiva är att den upptäcktes av forskare, och än så länge finns det inga bevis för att nätbrottslingar har använt den.
Men det är värt att uppmärksamma denna attackmetod – för om forskarna kan hitta och använda den finns det risk att nätbrottslingarna också kan det.
NUIT, som står för Near-Ultrasound Inaudible Trojan, är en attackmetod som kan användas för att tyst ta kontroll över enheter som använder eller drivs av en röstassistent som Siri, Google Assistant, Cortana eller Amazon Alexa.
Det betyder att din smarta telefon, surfplatta eller smarta högtalare i princip kan vara ett potentiellt mål för attacker. Konsekvenserna kan bli enorma, från integritetsintrång och förlust av förtroende (för företag) till att företagsnätverk äventyras.
Enligt forskare vid University of Texas i San Antonio (UTSA) och University of Colorado Colorado Springs (UCCS) är NUIT-attacker möjliga eftersom mikrofonerna i digitala assistenter kan svara på ”nästan ultraljud” som spelas upp från en högtalare. Du kan inte höra dem, men det kan röstassistenten och på så sätt kan den bli tillsagd att utföra ett visst kommando, t.ex. att stänga av videoövervakningen, skicka personlig information till en mottagare eller kanske låsa upp en dörr – om den är utrustad med ett smart lås.
NUIT är inte den första akustiska attacken som har upptäckts, sedan tidigare finns SurfingAttack, DolphinAttack, LipRead och SlickLogin. Men NUIT är ändå lite speciell eftersom den finns i två olika utgåvor/versioner.
NUIT 1 är där enheten är både källan och målet för attacken. Här krävs bara att användaren spelar upp en ljudfil på sin mobil, vilket i sin tur får enheten att utföra ett kommando.
NUIT 2 är en attack där t.ex. en dator spelar upp ljudfilen, som sedan hörs av en mobil.
Det skrämmande med NUIT är att det inte krävs så mycket för att fungera. Högtalaren som spelar upp ljudet måste bara vara inställt på en viss nivå och kommandot varar mindre än 1 sekund.
Dessutom måste röstassistenten vara påslagen, vilket de flesta är som fabriksinställning.
Men jag har goda nyheter. Forskarna upptäckte nämligen också att Apples Siri var svårast att attackera. Det beror på att en hackare behöver få tag i användarens unika röstavtryck för att få telefonen att acceptera kommandon.
Därför är rekommendationen att alla som använder röstassistenten på sin mobil ska ställa in den på att bara arbeta med sin egen röst. Det går ju också att helt enkelt stänga av röstassistenten och, naturligtvis bör du alltid vara uppmärksam.
Det finns två sätt att tackla det här. Du kan regelbundet hålla ett öga på om mikrofonen på din telefon aktiveras utan anledning. Både Android- och iOS-enheter har en liten lampa som tänds när mikrofonen är aktiv.
Slutligen kan du välja att bara lyssna på musik, poddsändningar och telefonsamtal i hörlurar. På så sätt kan du inte skicka ut de farliga kommandona till andra enheter.
Det är viktigt att komma ihåg att den här typen av attacker ännu inte har förekommit i verkligheten, men möjligheten finns och vi måste vara medvetna om den.