Los comandos de voz por ultrasonidos hacen extremadamente fácil hackear Siri, Cortana o Alexa

Siri

Tu asistente virtual es como tu mascota, escucha cosas que tu no puedes oír, y eso puede ser peligroso. Un grupo de investigadores de la Universidad de Zhejiang, en China, ha descubierto una vulnerabilidad que afecta a prácticamente todos los principales asistentes de voz del mercado, y es tan simple como hablarles en una frecuencia que un humano no pueda oír.

Lo han hecho con una técnica a la que han llamado ‘DolphinAttack’ (ataque delfín), con la que han conseguido inyectar comandos de voz inaudibles en siete asistentes de voz de primer nivel. Con él se han conseguido realizar varios tipos de ataque, como activar Siri para iniciar una llamada de FaceTime en el iPhone sin que su dueño se de cuenta.

También se ha conseguido, por ejemplo, activar Google Now y hacer que un teléfono entre en modo avión, e incluso manipular el sistema de navegación de un Audi Q3. Teniendo en cuenta que todas las principales empresas tecnológicas del mundo están invirtiendo millonadas en una carrera por desarrollar el mejor asistente virtual del mercado y servírtelo en un altavoz, una vulnerabilidad que afecta prácticamente a todos es bastante seria.

Así es el ataque delfín

Utilizando una técnica a la que han llamado ‘DolphinAttack’, los investigadores han logrado modular la frecuencia de los comandos de voz hechos por un ser humano para convertirlas en frecuencias de ultrasonido. Estos ultrasonidos no son audibles por el ser humano, pero sí que son detectados por los micrófonos de los dispositivos e interpretados por los asistentes de voz.

En este vídeo podemos ver cómo funciona el aparato. Primero los investigadores graban su comando de voz, y luego lo reproducen en ultrasonidos. Tú no escuchas nada, pero puedes ver que de repente el iPhone que aparece en pantalla se desbloquea y Siri empieza a escuchar sin problema lo que le dice la grabación.

Experimentando con esta técnica los investigadores consiguieron utilizar Google Now, Siri de Apple, Alexa de Amazon, el ya discontinuado S Voice de Samsung, Cortana de Microsoft y el HiVoice de Huawei. En el paper de la investigación no vemos que hayan hecho pruebas con Bixby de Samsung, probablemente porque es tan reciente que no han tenido tiempo aún de probarlo.

Asistentes Afectados Lista de dispositivos probados durante la investigación.

Como vemos en este gráfico, los investigadores se han centrado sobre todo en Siri y toda la gama de dispositivos de Apple que lo utilizan. También han vulnerado Google Now en dos Nexus, S Voice en un S6 Edge, HiVoice en un Honor 9, Cortana en un ThinkPad T440p con Windows 10 y Alexa en un Amazon Echo. La lista también indica los datos de la modulación utilizada en cada uno.

También vemos las distancias a las que los asistentes reconocen la voz y son capaces de activarse. En algunos casos como los últimos iPhone, Google Now o Cortana han tenido que emitir los sonidos a sólo unos centímetros de distancia, lo que haría más difíciles los ataques. Sin embargo, otros dispositivos como Amazon Echo o el Apple Watch pueden ser manipulados a más de un metro de distancia.

Además de activar los asistentes con los dispositivos en reposo, los investigadores también han inyectado comandos para hacer llamadas, acceder a páginas web, activar el modo avión y desbloquear la puerta trasera de una casa equipada con una cerradura inteligente. Teniendo en cuenta cuánto se está apostando por el hogar inteligente, esta última acción es bastante preocupante.

Cuales son las implicaciones y las soluciones

Con estas acciones y sin que tú te des cuenta un atacante podría por ejemplo acercarse a ti y activar tu teléfono para hacer que se conecte a determinada web donde pudieran insertarle malware. Además, activando el modo avión podrían impedir que el móvil te notifique, por ejemplo, cuando abran una puerta que tengas protegida con una cerradura asistente con la misma técnica.

En cuanto a las soluciones, sería suficiente con que los desarrolladores de estos dispositivos y asistentes virtuales hagan que no respondan las frecuencias de ultrasonido, para lo que tendrían que ignorar cualquier comando a frecuencias de 20 KHz o cualquier otra que un ser humano no pueda escuchar o hablar. Eso sí, de hacerlo los asistentes posiblemente perderían efectividad.

De cara a los usuarios otra solución sería configurar los dispositivos para que no se puedan activar automáticamente con comandos de voz. Pero claro, ¿entonces para qué vas a invertir en un dispositivo conectado que utilice un asistente? Esto sería más poner un parche al problema que solucionarlo.

La solución, por lo tanto, está en manos de quienes desarrollan los asistentes. Habrá que ver cómo se recibe la noticia de este ataque y qué medidas toma cada uno de ellos. Porque una cosa está clara, una vez que alguien ha encontrado la vulnerabilidad sólo es cuestión de tiempo que aparezcan grupos que empiecen a explotarla. De hecho, no es la primera vez que se habla de este tipo de vulnerabilidades.

Imagen | PROKārlis Dambrāns
En Xataka | No son voces de ultratumba, son comandos ocultos que los asistentes de voz reconocen y los humanos no

También te recomendamos

Ok Google, toma nota: tienes que mejorar el terrible español de Google Home

Un trasplantado logra concienciar a las autoridades sobre los riesgos de resaltos y badenes

Havyn, así es el nuevo asistente virtual de IBM centrado en la ciberseguridad

-
La noticia Los comandos de voz por ultrasonidos hacen extremadamente fácil hackear Siri, Cortana o Alexa fue publicada originalmente en Xataka por Yúbal FM .




Fuente: Xataka
Enlace: Los comandos de voz por ultrasonidos hacen extremadamente fácil hackear Siri, Cortana o Alexa

Comentarios