Es posible hackear los asistentes virtuales mediante ultrasonidos

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/es-posible-hackear-los-asistentes-virtuales-mediante-ultrasonidos/
TAGS: Altavoces, hackear, hogar, robo datos, robots
Los tradicionales métodos de robo de datos parecen quedarse anticuados para los amantes de lo ajeno, quienes buscan nuevas maneras de hacerse con los datos. Y parece ser que es posible si tenemos en cuenta lo fácil que es hackear los asistentes virtuales mediante comandos de voz por ultrasonidos.

Investigadores de seguridad en China pertenecientes a la Universidad de Zhejiang han descubierto un fallo por el cual utilizando altas frecuencia inaudibles para los seres humanos pero que sí quedan registradas en los micrófonos electrónicos es posible robar datos de los asistentes virtuales.

Bajo un técnica bautizada como DolphinAttack se ha conseguido por ejemplo activar Google Now y hacer que un teléfono entre en modo avión, manipular el sistema de navegación de un Audi Q3, etc. Hasta siete asistentes virtuales disponibles en el mercado: Siri (de Apple), Google Now, Alexa (de Amazon), S Voice (de Samsung), Cortana (Microsoft) y HiVoice (Huawei) han sido víctimas.

Como aparatos electrónicos que son, los micrófonos disponen de una membrana pequeña y delgada que vibra como respuesta a los cambios de presión de aire causados por las ondas sonoras. Los seres humanos tenemos una capacidad auditiva límite de 20000 Hz, por encima de los cuales no oímos nada. Por defecto, el software de los micrófonos descarta cualquier señal por encima de esta frecuencia, aunque técnicamente sí las sigue detectando – a esto se le conoce como filtro de paso bajo.

De frecuencias de los comandos de voz hechas por un ser un humano a frecuencias de ultrasonido

Un micrófono perfecto vibraría a una frecuencia conocida en, y sólo en, ciertas frecuencias de entrada. Pero en realidad, la membrana está sometida a armónicos provocados por las ondas, lo que hace que, por ejemplo, un tono de 400 Hz provoque una respuesta a 200 Hz y 800 Hz. Eso sí, suelen ser más débiles que los de la vibración original.

Esto es lo que nos permite poder registrar un tono a 100 Hz sin emitir dicho sonido. Lo haríamos generando un tono a 800 Hz suficientemente potente, el cual daría lugar a un tono de 100 Hz con sus armónicos sólo en el micrófono. De esta manera, las personas oyen el tono original pero desconocen que el dispositivo ha registrado más datos. 

Basándose en estos principios científicos, los investigadores chinos determinaron que la mayoría de los micrófonos usados en dispositivos activados por voz están sujetos a este efecto armónico. Para comprobarlo, crearon un tono objetivo con una frecuencia ultrasónica mucho más alta, que fue capaz de recrear fragmentos con tonos de capas de entre 500 y 1.000 Hz en las principales plataformas de reconocimiento de voz.

“Los comandos de voz de DolpinAttack , aunque totalmente inaudibles y por lo tanto imperceptibles para los seres humanos, pueden ser recibidos por el hardware de audio de los dispositivos y correctamente entendidos por los sistemas de reconocimiento de voz. Hemos validado DolphinAttack en los principales sistemas de reconocimiento de voz, incluyendo Siri, Google Now, Samsung S Voice, Huawei HiVoice, Cortana y Alexa”, han señalado este gurpo de investigadores. Así lo muestran en esta imagen, donde explican este peculiar proceso.

Un fallo de los asistentes virtuales permite el acceso a los hackers mediante comandos de voz ultraasonidos

Fueron capaces de ejecutar una serie de comandos de voz que van desde frases conocidas (como “OK Google”) hasta órdenes de varias palabras (“desbloquear la puerta trasera”). Las pruebas se centraron especialmente en Siri  y en los dispositivos de Apple, además de probar con Google Now en dos Nexus, S Voice en un S6 Edge, HiVoice en Honor 9, Cortana en un ThinkPad T440p con Windows 10 y Alexa en un Amazon Echo. Los resultados mostraron quees posible hackear los asistentes virtuales. Pero a no más de 5 pies de distancia.

¿Representa un peligro el hecho de que se puedan poner en marcha los sistemas de reconcimiento de voz sin necesidad de hablar?

Hay varios aspectos que nos llevan a pensar que las alarmas no lo son tanto. En primer lugar, DolphinAttack es tan sencillo de desactivar con simplemente no tener abierta la interfaz de reconocimiento de voz. Si esta medida de protección se te olvida no te preocupes porque muchos asistentes virtuales tienen acceso restringido a ciertas funciones como los contactos, las apps y los sitios webs. En tercer lugar, los atacantes han de estar muy cerca de estos dispositivos para poder robar los datos.

Aún así es recomendable no bajar la guardia ante la utilización de nuevos métodos para hackear los asistentes virtuales empleando comandos de voz ultrasonidos.

Noticias de seguridad informática http://noticiasseguridad.com/hacking-incidentes/es-posible-hackear-los-asistentes-virtuales-mediante-ultrasonidos/

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s