Investigadores demuestran que los asistentes de voz pueden ser hackeados usando comandos inaudibles de ultrasonido

Investigadores demuestran que los asistentes de voz pueden ser hackeados usando comandos inaudibles de ultrasonido
Sin comentarios Facebook Twitter Flipboard E-mail

Científicos de la universidad de Zheijiang en China presentaron esta semana un estudio en el cual demostraron como los asistentes de voz más importantes como Google Now, Siri, Alexa entre otros 16 incluidas algunas interfaces vehiculares, pueden ser activados y responder a comandos de voz inaudibles para el oído humano, usando ultrasonido. Aunque el ataque es efectivo, los investigadores advierten que es un método poco práctico y muy fácil de arreglar para los fabricantes, pero que nos muestra lo vulnerable que pueden llegar a ser este tipo de tecnologías de reconocimiento de voz.

El uso del ultrasonido como un medio de comunicación secreto o método de hackeo, no es nuevo, ya hace unos días vimos como este tipo de señales inaudibles se podían usar para rastrear los movimientos de una persona, e incluso en la vida cotidiana, algunos comerciales de televisión han usado ultrasonidos para emitir códigos inaudibles que detectan los teléfonos y tabletas cercanos, logrado a manera de cookies, asociar a una persona con múltiples dispositivos para rastrear sus actividades en línea.

Así funciona el DolphinAttack

De forma similar, los investigadores de Zheijiang desarrollaron el método DolphinAttack que, a manera de analogía con los delfines, usa el ultrasonido para comunicarse con los asistentes de voz, logrando increíbles resultados en ambientes controlados, tales como activar el dispositivo e iniciar una llamada como veremos a continuación.

El proceso por medio del cual han logrado este hackeo es relativamente simple, pues diseñaron un programa capaz de sintetizar la voz humana a frecuencias tan altas como 20KHz y usaron un parlante espacial capaz de emitir estos sonidos de una forma muy precisa. A pesar de su amplia tasa de éxito, los investigadores advierten que la técnica solo es efectiva si el atacante se encuentra a solo unos pocos centímetros del dispositivo atacado y en un ambiente silencioso.

Ataque Delfin

Como vemos en este gráfico, los investigadores se han centrado sobre todo en Siri y toda la gama de dispositivos de Apple que lo utilizan. También han vulnerado Google Now en dos Nexus, S Voice en un S6 Edge, HiVoice en un Honor 9, Cortana en un ThinkPad T440p con Windows 10 y Alexa en un Amazon Echo. La lista también indica los datos de la modulación utilizada en cada uno.

Ataque Delfin 2 Los asistentes de voz respondieron con éxito a comandos de activación y algunas instrucciones incluso en varios idiomas

El documento fruto de esta investigación, también menciona que a pesar de ser posible la activación de la mayoría de los asistentes de voz, ordenarles realizar tareas más peligrosas para el dueño del dispositivo como acceder a una página web para descargar un virus, o iniciar el envío de dinero a una cuenta de banco, siempre requieren del desbloqueo del dispositivo y la confirmación del usuario, por lo que es poco probable que una persona no note que está siendo atacada.

Cómo prevenir el ataque

Los investigadores de Zheijiang mencionan al menos dos formas de prevenir este tipo de ataques. La primera de mano de los fabricantes, estaría enfocada en parchar el software de los asistentes de vos, para ignorar comandos de voz en frecuencias altas que resulten inaudibles para el oído humano, algo que a la postre se podría implementar rápidamente en caso de la aparición de un ataque masivo con comandos de ultrasonido.

En cuanto a las soluciones, del lado de los usuarios, otra salida sería configurar los dispositivos para que no se puedan activar automáticamente con comandos de voz. Pero claro, ¿entonces para qué vas a invertir en un dispositivo conectado que utilice un asistente si no se puede usar? Esto sería más como desaprovechar una función esencial del dispositivo que una solución al problema.


En Xataka Colombia | Estudiante gana recompensa de $10.000 dólares por encontrar una simple falla de seguridad de Google

Vía | theverge | Foto | evcnoticias

Comentarios cerrados
Inicio