Cada día crece más la lista de métodos con los que nuestros dispositivos electrónicos pueden ser pirateados, lo que significa que debemos poner cada vez más atención en la seguridad. Pero ahora, incluso algo tan inocuo como dejar el teléfono sobre una mesa puede acabar en hackeo. Un grupo de investigadores demostró que alguien puede acceder a tu teléfono pirateando su asistente inteligente a través de comandos de voz inaudibles para los humanos.
El SurfingAttack, como ha sido bautizado este tipo de ataque, fue desarrollado por un equipo de investigadores de la Universidad Estatal de Michigan, la Academia de Ciencias de China, la Universidad de Nebraska-Lincoln y la Universidad de Washington. La investigación la acaban de detallar en un paper publicado recientemente. Si alguna vez has escuchado tu teléfono vibrar ruidosamente sobre una mesa cuando está en silencio, ya has experimentado esencialmente cómo funciona este ataque.
Es necesario un hardware especial, pero el ingrediente clave es un transductor piezoeléctrico de $5 normal y corriente, que puede generar vibraciones que se encuentran fuera del rango de la audición humana. Cuando lo conectamos a un generador de señal y lo colocamos sobre una delgada pieza de vidrio o metal que se pueda ocultar debajo de un mantel, el transductor puede enviar vibraciones ultrasónicas, que hacen que el material vibre y genere sonidos que las personas no pueden escuchar. Los sonidos no son solo tonos; también pueden ser palabras e instrucciones que los sensibles micrófonos de los dispositivos móviles pueden detectar fácilmente, lo cual puede activar el asistente inteligente de un dispositivo cuando está configurado para responder a comandos de voz.
Tal vez estás pensando: “¿Y qué? Los hackers ahora podrán usar mi teléfono para ver qué tiempo hace, ¿a quién le importa eso?
Pero desafortunadamente, los asistentes inteligentes se han integrado tanto en los sistemas operativos de nuestros dispositivos que los hackers pueden realizar algunas cuantas fechorías más: realizar llamadas de larga distancia que acumulen cargos no deseados o leer nuestros mensajes de texto, lo que podría dar acceso a los hackers a los códigos de verificación de nuestras cuentas si tenemos activado un proceso de verificación en dos pasos.
Para que el sistema de SurfingAttack funcione también es necesario un micrófono oculto cercano que escuche las respuestas del asistente inteligente. Después de contactar por primera vez con el asistente inteligente, se pueden utilizar comandos adicionales para reducir el volumen del smarthpone, de modo que nadie escuche que tu dispositivo está siendo hackeado.
Algunos materiales funcionan mejor que otros a la hora de conducir las señales ultrasónicas a un dispositivo, pero los investigadores usaron una placa de aluminio para hacer que funcionase el SurfingAttack a una distancia de 9 metros, permitiendo que el resto del equipamiento necesario pudiese permanecer perfectamente oculto. Sin embargo, encontraron varias formas de frustrar el ataque, además de poder deshabilitar la función de escucha constante de tu asistente inteligente y pedir que se active manualmente. Si sobre la mesa hay un mantel grueso, las señales ultrasónicas se ven amortiguadas hasta el punto en que los comandos de voz no pueden ser entendidos por un dispositivo, y ocurre lo mismo con las fundas de smartphones más gruesas diseñadas para proteger contra caídas y absorber impactos.