Alexa, Google Assistant y Siri vulnerables a ataques de hackeo con láser

Un grupo de investigadores ha descubierto una falla de seguridad que permite a los hackers hackear altavoces inteligentes apuntando un rayo láser especialmente diseñado a sus micrófonos e inyectándolos con comandos de voz.

Lo interesante es que la misma vulnerabilidad se puede utilizar para comprometer cualquier computadora que incluya un micrófono, así como teléfonos inteligentes y tabletas.

El estudio fue llevado a cabo por investigadores de la Universidad de Electro-Comunicaciones en Tokio y la Universidad de Michigan. La vulnerabilidad se ha detallado en un nuevo artículo titulado “Light Commands: Laser-Based Audio Injection Attacks on Voice-Controllable Systems.”

La falla, denominada ‘Light Commands’, utiliza principalmente láseres para manipular altavoces inteligentes con comandos falsos. También se puede utilizar para infiltrarse en otros sistemas que están conectados a través de un altavoz inteligente, como la puerta de entrada protegida por smartlock, puertas de garaje conectadas, compras en línea, localización y arranque remoto de algunos vehículos, y más.

“Light Commands es una vulnerabilidad de micrófonos MEMS que permite a los atacantes inyectar de forma remota comandos inaudibles e invisibles en asistentes de voz, como Google Assistant, Amazon Alexa, Facebook Portal y Apple Siri utilizando luz”, escribieron los investigadores. “En nuestro artículo demostramos este efecto, utilizando con éxito la luz para inyectar comandos maliciosos en varios dispositivos controlados por voz, como altavoces inteligentes, tabletas y teléfonos a grandes distancias y a través de ventanas de vidrio.”

Los micrófonos MEMS (sistema microelectromecánico) en algunos de los altavoces inteligentes y teléfonos inteligentes más populares son tan sensibles que interpretan la luz brillante del láser como sonido.

Los investigadores pudieron engañar a Siri y otros asistentes de IA desde hasta 360 pies (110 metros) de distancia simplemente enfocando la luz láser e incluso controlar un dispositivo en un edificio desde un campanario a 230 pies (70 metros) de distancia al dirigir su luz a través de una ventana.

Además de los altavoces inteligentes, algunos de los otros dispositivos probados fueron Amazon Echo, Apple HomePod, iPhone XR, Google Pixel 2, Samsung Galaxy S9, Facebook Portal Mini, etc.

“Los micrófonos convierten el sonido en señales eléctricas. El principal descubrimiento detrás de los comandos de luz es que, además del sonido, los micrófonos también reaccionan a la luz dirigida directamente a ellos”, escribieron los investigadores.

“Así, al modular una señal eléctrica en la intensidad de un rayo de luz, los atacantes pueden engañar a los micrófonos para que produzcan señales eléctricas como si estuvieran recibiendo audio genuino.”

Google, que está al tanto de la investigación, confirmó que está “revisando de cerca este artículo de investigación.” La compañía agregó: “Proteger a nuestros usuarios es primordial, y siempre estamos buscando formas de mejorar la seguridad de nuestros dispositivos.”

Si bien la vulnerabilidad ciertamente suena alarmante, no es un exploit fácil de llevar a cabo. Requiere una configuración bastante sofisticada, un puntero láser, un controlador láser, un amplificador de sonido, un objetivo de telefoto y más.

Sin embargo, puedes tomar algunas medidas preventivas simples para evitar tales ataques desactivando tus dispositivos cuando no estén en uso, manteniendo tus dispositivos fuera de la vista del rayo láser y estableciendo medidas de seguridad como PINs y otros requisitos de autenticación de usuario en tus dispositivos cuando sea posible.