Home Otras Los ciberdelincuentes pueden usar ondas ultrasónicas para controlar dispositivos de asistencia de...

Los ciberdelincuentes pueden usar ondas ultrasónicas para controlar dispositivos de asistencia de voz

Noticias inquietantes para cualquiera que confíe en los asistentes de voz de los teléfonos inteligentes: los investigadores han demostrado cómo pueden activarse secretamente para hacer llamadas telefónicas, tomar fotos e incluso leer mensajes de texto sin tener que tocar el dispositivo.

Apodado SurfingAttack por un equipo universitario chino-estadounidense, no es un truco de salón y se basa en la capacidad de controlar remotamente los asistentes de voz usando ondas ultrasónicas inaudibles.

Los asistentes de voz – la demo dirigida a Siri, Google Assistant y Bixby – están diseñados para responder cuando detectan la voz del propietario después de notar una frase desencadenante como ‘Ok, Google’.

En última instancia, los comandos son sólo ondas de sonido, que otros investigadores ya han demostrado que pueden ser emuladas usando ondas ultrasónicas que los humanos no pueden oír, siempre y cuando el atacante tenga una línea de visión en el dispositivo y la distancia sea corta.

Lo que SurfingAttack añade a esto es la capacidad de enviar los comandos ultrasónicos a través de una sólida mesa de cristal o madera sobre la que el teléfono inteligente estaba sentado utilizando un disco piezoeléctrico circular conectado a su parte inferior.

Aunque la distancia era sólo de 43 centímetros, ocultar el disco bajo una superficie, representa un método de ataque más plausible y fácil de ocultar que las técnicas anteriores.

Los investigadores probaron el método en 17 modelos diferentes de smartphones de Apple, Google, Samsung, Motorola, Xiaomi y Huawei, desplegando con éxito SurfingAttack contra 15 de ellos.

Además, pudieron activar los asistentes de voz, ordenándoles que desbloquearan los dispositivos, tomaran repetidas selecciones, hicieran llamadas fraudulentas e incluso lograr que el teléfono leyera los mensajes de texto de un usuario, incluyendo los códigos de verificación de los SMS.

Las respuestas se grabaron utilizando un micrófono oculto después de bajar el volumen del dispositivo para que esta comunicación no fuera escuchada por un usuario cercano en un entorno de oficina.

En teoría, los asistentes de voz sólo deberían responder a la voz del propietario, pero ahora pueden ser clonados utilizando un software de aprendizaje automático como Lyrebird, como fue el caso en esta prueba. Es una especie de defensa: la necesidad de capturar y clonar la voz de la víctima.

Una mayor podría ser simplemente los diseños de los teléfonos inteligentes individuales – el equipo cree que los dos que no sucumbieron al SurfingAttack, el Huawei’s Mate 9 y el Samsung’s Galaxy Note 10, lo hicieron porque los materiales con los que fueron construidos amortiguaron las ondas ultrasónicas. Según los investigadores, poner el smartphone en un mantel era aún mejor.

SurfingAttack se inspiró en la prueba de concepto de DolphinAttack 2017, que mostró cómo los asistentes de voz podían ser secuestrados por los comandos ultrasónicos.

En otros lugares, el sonido también ha demostrado ser interesante para los investigadores que buscan saltar los huecos de aire, y extraer datos del ruido del ventilador de la computadora.

Mientras que el pirateo de asistentes de voz sigue siendo una actividad de laboratorio sin ataques conocidos en el mundo real, siempre hay un riesgo que podría cambiar. En algún momento, los fabricantes de teléfonos inteligentes seguramente tendrán que idear mejores contramedidas.

Con información de: Digital Trends Español.