Répondant au doux nom de SurfingAttack, la méthode met à profit les ultrasons en les transmettant au travers de matériaux solides, comme le plan d'un bureau. Les chercheurs ont utilisé un transducteur piézoélectrique à 5 dollars afin d'émettre les ondes, et atteindre les assistants vocaux de différents smartphones.
Il leur a ainsi été possible de passer des appels téléphoniques, de prendre des clichés et de lire des messages. Afin de rendre l'attaque la plus discrète possible, les chercheurs ont d'abord envoyé une commande inaudible afin de baisser le volume de l'appareil ciblé, puis ont enregistré les réponses à l'aide d'un autre module caché sous la table.
L'attaque a été testée sur un panel de 17 smartphones (dont desiPhone, des Pixels, et des appareils de Samsung) et s'est révélée efficace sur la plupart d'entre eux. Seuls les Huawei Mate 9 et le Samsung Galaxy Note 10+ n'ont pas été inquiétés, grâce aux propriétés des matériaux qui les composent. SurfingAttack s'est également avérée moins efficace lorsque les tables étaient recouvertes d'une nappe. La méthode s'appuie sur la non-linéarité des microphones MEMS des smartphones, et sera inefficace sur les enceintes connectées. Les conclusions de la recherche ont été présentées officiellement lors du Symposium Network Distributed System Security le 24 février à San Diego.
