Los asistentes de voz pueden ser pirateados con ondas ultrasónicas


Con acceso a mensajes de texto y la capacidad de hacer llamadas telefónicas fraudulentas, los atacantes podrían causar más daño de lo que piensas

Si Siri, el Asistente de Google o cualquier otro asistente de voz son parte de su rutina diaria, es posible que esté desconcertado al descubrir que los atacantes también podrían activarlo, todo el tiempo que no escucharía nada. Un grupo de investigadores estadounidenses y chinos realizó una serie de experimentos, demostrando que, en las condiciones adecuadas, los asistentes de voz en su teléfono inteligente podrían ser engañados para que derramen información confidencial o realicen ciertas tareas.

De acuerdo con la papel, los investigadores probaron 17 teléfonos inteligentes populares, incluidos los teléfonos insignia de Samsung, Huawei, Apple y Google. Todos menos dos dispositivos resultaron ser susceptibles al ataque, llamado SurfingAttack, que utiliza ondas guiadas por ultrasonidos para provocar una reacción de los asistentes de voz.

Aunque esta investigación no es la primera en demostrar ataques inaudibles en acción, sus predecesores, como DelfínAtaque o Lectura de labios centrado en la transmisión por aire y la interacción unidireccional.

SurfingAttack, por otro lado, funciona sobre un medio sólido y permite interacciones de múltiples rondas con el dispositivo, ya que los asistentes de voz de los teléfonos inteligentes hacen preguntas para especificar su tarea y requieren respuestas para realizarlas.

(incrustar) https://www.youtube.com/view?v=pQw2zRAqVnI (/ incrustar)

Los investigadores utilizaron cuatro tipos diferentes de mesas representativas hechas de vidrio, metallic, madera y plástico a través de las cuales intentaron realizar los ataques ultrasónicos. El ataque se transmitió a través de un disco piezoeléctrico que se adjuntó debajo de la mesa, mientras que el teléfono inteligente objetivo se colocó sobre la mesa.

Todo el intercambio también fue grabado por un micrófono oculto para emular cómo se llevaría a cabo todo el ataque y cómo los malos actores obtendrían los datos.

Para ilustrar a qué podrían acceder los atacantes, el equipo de investigación tomó selfies, leyó mensajes SMS e incluso realizó llamadas fraudulentas usando los teléfonos. El acceso a mensajes de texto y llamadas es especialmente preocupante.

Por ejemplo, si tu Asegure sus cuentas con autenticación de dos factores (2FA) y use mensajes SMS para recibir su código de autenticación, este ataque podría permitir a los piratas informáticos eludir esa capa de seguridad adicional y otorgarles acceso a los servicios en línea de su elección.

Los que no lo hacen bien también pueden hacer que su asistente de voz marque números que reenvíen su llamada al extranjero o incluso a un número por cobrar, acumulando cargos obscenos en el proceso.

Solo el Mate 9 de Huawei y el Galaxy Take note 10+ de Samsung no reaccionaron a ninguna de las indicaciones, pero los investigadores teorizaron que se debió al diseño de los teléfonos inteligentes y a los materiales utilizados para fabricarlos.

El estudio concluye con contramedidas para mitigar la amenaza que también son resumido aquí.








Enlace a la noticia primary