Un ataque silencioso mediante ultrasonidos puede dar órdenes a tu smartphone o altavoz inteligente
Investigadores estadounidenses han desarrollado un ataque denominado «troyano inaudible de ultrasonido cercano» que puede lanzar ataques silenciosos contra dispositivos con asistentes de voz, como smartphones y altavoces inteligentes.
El equipo demostró ataques contra asistentes de voz modernos que se encuentran dentro de millones de dispositivos, incluidos Siri de Apple, Assistant de Google, Cortana de Microsoft y Alexa de Amazon, mostrando la capacidad de enviar comandos maliciosos a esos dispositivos.
El principio fundamental que hace que sea efectivo y peligroso es que los micrófonos de los dispositivos inteligentes pueden responder a ondas cercanas al ultrasonido que el oído humano no puede, realizando así el ataque con un riesgo mínimo de exposición.
Este ataque podría incorporarse a sitios web que reproducen contenidos multimedia o vídeos de YouTube. Engañar a los objetivos para que visiten estos sitios o reproduzcan contenidos maliciosos en sitios fiables es un caso relativamente sencillo de ingeniería social.
Los investigadores afirman que los ataques pueden realizarse mediante dos métodos diferentes:
- El primero se produce cuando un dispositivo es a la vez el origen y el objetivo del ataque. Por ejemplo, se puede lanzar un ataque a un smartphone reproduciendo un archivo de audio que provoque que el dispositivo realice una acción, como abrir la puerta de un garaje o enviar un mensaje de texto.
- El segundo se produce cuando el ataque es lanzado por un dispositivo con un altavoz a otro dispositivo con un micrófono, como un sitio web a un altavoz inteligente.
«Si reproduces YouTube en tu televisor inteligente, ese televisor inteligente tiene un altavoz, ¿verdad? El sonido de los comandos maliciosos NUIT se volverá inaudible, y también puede atacar tu móvil y comunicarse con tus dispositivos Google Assistant o Alexa», explicó uno de los autores.
«Incluso puede ocurrir en Zooms durante reuniones. Si alguien activa su micrófono, puede incrustar la señal de ataque para hackear tu teléfono que está colocado al lado de tu ordenador durante la reunión.»
Chen explicó que el altavoz desde el que se lanza el ataque tiene que estar por encima de un determinado nivel de volumen para que el ataque funcione, mientras que los comandos maliciosos duran sólo 0,77 segundos.
Los investigadores probaron 17 dispositivos populares que ejecutan los asistentes de voz y descubrieron que todos ellos son atacables utilizando cualquier voz, incluso generada por robots, excepto Siri de Apple, que requiere emular o robar la voz del objetivo para aceptar órdenes.
Chen también aconsejó a los usuarios vigilar de cerca sus dispositivos para detectar activaciones del micrófono, que tienen indicadores dedicados en pantalla en los smartphones iOS y Android.
Por último, utilizar auriculares en lugar de altavoces para escuchar algo o emitir sonido protege eficazmente contra ataques similares.