Tänk två gånger innan du laddar en iPhone på bordsskivor på offentliga platser som flygplatser och kaféer.

Forskare vid Michigan State University College of Engineering har upptäckt ett nytt sätt för hackare att på ett billigt sätt rikta in sig på personliga enheter och sätta Apples Siri och Google Assistant i arbete mot smartphoneägare.

Qiben Yan, biträdande professor vid institutionen för datavetenskap och teknik och huvudförfattare till forskningen, sa att forskargruppen upptäckte en ny attackfaktor - ohörbara vibrationer som kan skickas genom trä, bordsskivor av metall och glas för att styra röstassistentenheter upp till 30 fot bort.

Forskningen, SurfingAttack, presenterades den 24 februari på Network and Distributed System Security Symposium i San Diego.

Yan råder smartphoneägare att vara försiktiga med offentliga laddstationer. "Hackare kan använda skadliga ultraljudsvågor för att i hemlighet styra röstassistenterna i dina smarta enheter, "sa han." Det kan aktiveras med fraser som, "OK Google" eller "Hej Siri, "som väckningsord. Sedan, attackkommandon kan genereras för att styra dina röstassistenter, som 'läs mina meddelanden, "eller ring ett bedrägeri med text-till-tal-teknik.

"Med andra ord, "Sa Yan, "de kan ringa dina vänner, familj och kollegor och gör alla möjliga saker - från att avbryta planer till att be om pengar. Om du är tekniskt kunnig och har egna röststyrbara smarta hemprylar, hackare kan till och med använda dina smartphones för att styra dina smarta prylar, till exempel, ställa in hemtemperaturen eller öppna garageporten. "

Yan sa att hackare fäster en billig piezoelektrisk givare under ett bord eller en laddstation, gör det möjligt för en angripare att obetydligt kapa tvåfaktors autentiseringskoder och till och med ringa bedrägliga samtal

Hanqing Guo, en MSU-doktorand vid Institutionen för datavetenskap och teknik och medförfattare till studien, sa "Det är ganska skrämmande att se min telefon aktiveras och kontrolleras i offentliga utrymmen utan min vetskap. Vår forskning avslöjar osäkerheten hos smartphone -röstassistenter, som alla måste vara medvetna om. "

SurfingAttack fungerade på 15 av 17 testade telefonmodeller, inklusive fyra iPhones; de 5, 5s, 6 och X; de tre första Google -pixlarna; tre Xiaomis; Mi 5, Mi 8 och Mi 8 Lite; Samsung Galaxy S7 och S9 och Huawei Honor View 8.

"Vår forskning avslöjar osäkerheten hos smartphone -röstassistenter, "sa Guo.

Yan, som leder MSU:s Secure Intelligent Things Lab, arbetat i samarbete med forskare från MSU, Washington University i St. Louis, Chinese Academy of Sciences och University of Nebraska-Lincoln.

"Vårt bästa råd är om du ska lägga din obevakade telefon på ett bord för att ladda, se till att den inte är platt, "sa han." SurfingAttack kan göras mindre effektivt genom att bara lyfta upp telefonen eller använda en mjuk vävd duk. Luta din telefon på något för att störa de ultraljudstyrda vågorna. Fixen är enkel och lägger till ett lager av säkerhet. "