Smartphones van mogelijk alle grote fabrikanten zijn vatbaar voor een aanval waarbij kwaadwillenden de telefoon ongemerkt een nummer kunnen laten bellen of een website kunnen laten openen. De aanval werkt via de altijd luisterende digitale assistenten.
De DolphinAttack werkt met een speaker die ultrasone geluiden voortbrengt. Die ultrasone geluiden moeten lijken op de commando's om de stemassistenten te activeren, zoals Hey Siri en Ok Google. Vervolgens probeerden de wetenschappers om de apparaten taken te laten uitvoeren, zoals een willekeurig nummer bellen of een website bezoeken. De ultrasone geluiden zitten boven 20kHz en zijn dus onhoorbaar voor mensen.
De onderzoekers van de Chinese Zhejiang Universiteit konden met de methode alle iPhones sinds de 4S, een LG Nexus 5X, Samsung Galaxy S6 Edge en Huawei Honor 7 taken laten uitvoeren. Ook een Lenovo Thinkpad-laptop met Windows 10 en Cortana bleek vatbaar, net als een Amazon Echo-speaker, Apple Watch en Audi Q3-navigatiesysteem.
Het effect verschilde per apparaat. Bij een achtergrondgeluid van rond 55dB moest de speaker die de ultrasone geluiden voortbracht, veelal tussen tien en vijftig centimeter van het apparaat verwijderd zijn. Bij de Apple Watch werkte de aanval op anderhalve meter, net als bij de Echo.
Met de aanval zouden kwaadwillenden bijvoorbeeld mensen op kosten kunnen jagen met het ongemerkt bellen van nummers of malware kunnen installeren vanaf een vooraf geprepareerde url. Daarvoor moeten aanvallers wel in de nabijheid van het apparaat zijn, waardoor het risico om slachtoffer te worden van een aanval beperkt is.
Alleen toestellen die het bedienen van de assistent mogelijk maken zonder het scherm te ontgrendelen, zijn vatbaar voor de aanval. De aanval is voor zover bekend nog niet misbruikt.