Los hackers pueden secuestrar Siri y Google Assistant usando ondas ultrasónicas

Un grupo de investigadores de seguridad ha descubierto un nuevo método para hackear asistentes de voz en smartphones, incluidos los utilizados por Siri y Google, enviando comandos de voz a través de ondas ultrasónicas.

Apodado SurfingAttack, este ataque permite a un hacker controlar Siri de Apple y Google Assistant enviando vibraciones inaudibles a través de una mesa desde 30 pies de distancia sin el conocimiento del propietario del teléfono.

La investigación fue llevada a cabo por un grupo de académicos de la Universidad Estatal de Michigan, la Universidad de Nebraska-Lincoln, la Universidad de Washington en St. Louis y la Academia China de Ciencias.

En su artículo, SurfingAttack: Interactive Hidden Attack on Voice Assistants Using Ultrasonic Guided Waves, los investigadores han demostrado cómo los asistentes de voz en smartphones pueden ser explotados a través de objetos sólidos, como mesas de metal, vidrio o madera utilizando ondas ultrasónicas.

Básicamente, SurfingAttack modula el comando de voz en la banda de frecuencia inaudible y transmite señales de ataque utilizando un transductor PZT de venta libre (costo de $5 por pieza) a través de diferentes tipos de mesas hechas de materiales sólidos.

Los investigadores probaron su técnica SurfingAttack en 17 modelos de Apple, Google, Samsung, Motorola, Xiaomi y Huawei. De estos, 13 modelos estaban ejecutando Android con Google Assistant, y cuatro iPhones tenían Siri de Apple.

Los investigadores pudieron tomar el control exitosamente de 15 de los 17 smartphones. Sin embargo, la técnica fue ineficaz contra el Huawei Mate 9 y el Samsung Galaxy Note 10+, ya que el material de construcción de estos teléfonos “atenuó las ondas ultrasónicas.”

Pudieron activar exitosamente los asistentes de voz, ordenarles que desbloquearan dispositivos, secuestrar códigos de autenticación de dos factores por SMS, tomar selfies repetidas y hasta hacer que realizaran llamadas fraudulentas.

Para ocultar el ataque de la víctima, los investigadores bajaron el volumen del micrófono oculto para hacer que las respuestas de voz fueran imperceptibles.

“Al aprovechar las propiedades únicas de la transmisión acústica en materiales sólidos, diseñamos un nuevo ataque llamado SurfingAttack que permitiría múltiples rondas de interacciones entre el dispositivo controlado por voz y el atacante a una mayor distancia,” dijeron los investigadores en su sitio web.

“SurfingAttack habilita nuevos escenarios de ataque, como secuestrar un código de acceso de Servicio de Mensajes Cortos (SMS), realizar llamadas fraudulentas fantasma sin el conocimiento de los propietarios, etc.”

“Queremos crear conciencia sobre tal amenaza,” dijo Ning Zhang, profesor asistente de ciencias de la computación e ingeniería en St. Louis. “Quiero que todo el público sepa esto.”

Los investigadores sugieren las siguientes medidas para defenderse contra SurfingAttack:

• Mantén un ojo en tus dispositivos colocados sobre mesas.

• Reduce el área de superficie de contacto de tus teléfonos con la mesa.

• Coloca el dispositivo sobre una tela suave antes de tocar las mesas.

• Usa fundas de teléfono más gruesas hechas de materiales poco comunes como madera.

• Desactiva los resultados personales de la pantalla de bloqueo (o desbloquea con coincidencia de voz) en Android.

• Desactiva tu Asistente de Voz en la pantalla de bloqueo y bloquea tu dispositivo cuando lo pongas abajo.

Los resultados fueron presentados en el Simposio de Seguridad de Redes y Sistemas Distribuidos en San Diego, California, el 24 de febrero, y también se publicó posteriormente un resumen en el sitio web de la universidad.