La mayoría de los ataques se realizan directamente sobre los dispositivos, ya sea a través de malware, acceso directo o similares. Sin embargo, existe una forma de ataque que puede ser igual de dañina y es prácticamente invisible, o en este caso, inaudible.
un grupo de investigadores desarrolló lo que se conoció como el «troyano inaudible de ultrasonido cercano» (NIGHT). Básicamente, es un troyano que puede lanzar ataques de ondas sonoras silenciosas. Este sistema aprovecha los sistemas de asistente personal y los comandos de voz para realizar posibles ataques contra los usuarios.
Un grupo de investigadores de la Universidad de Texas y Colorado ha demostrado cómo es posible utilizar ondas de sonido que son inaudibles para los usuarios, pero que pueden realizar acciones en asistentes como Siri, Google Assistant y Alexa.
Con esto, es posible enviar comandos de voz a través de ondas de sonido que los usuarios no pueden escuchar, lo que abre la posibilidad de ataques y robo de datos.
El principio de NUIT es que los micrófonos que se encuentran en los dispositivos de Internet de las cosas, los dispositivos inteligentes y los teléfonos inteligentes pueden captar sonidos que el oído humano simplemente no puede.
Este tipo de ataque se puede implementar de forma relativamente sencilla. Bastaría con una web con música de fondo, donde el usuario al abrirla pudiera activar comandos para asistentes cercanos.
Esto será aún peor para los dispositivos que están interconectados para realizar acciones más complejas. Por ejemplo, sistemas de asistencia que controlan ciertos aspectos del hogar, donde se pueden enviar comandos de sonido inaudibles para abrir una puerta o una ventana, por ejemplo.
Esto abre la puerta a posibles riesgos para los usuarios, que pueden ser objeto de ataques o de que se abuse de sus dispositivos para diversos fines. El ataque puede llevarse a cabo de dos maneras.
El primero utilizará una aplicación maliciosa, que puede emitir silenciosamente comandos de sonido inaudibles a los dispositivos en segundo plano. Este sonido se puede reproducir directamente a través del altavoz del dispositivo y también reconoce el sonido como un comando de voz.
El segundo modo de ataque será usar dispositivos externos como parlantes inteligentes para enviar comandos directamente a otros dispositivos. Este método implica el uso de un segundo dispositivo para emitir los sonidos, en lugar de provenir del propio dispositivo.
Los investigadores demostraron cómo funcionan este tipo de ataques a través de comandos comúnmente utilizados por los asistentes de control del hogar y similares. Sin embargo, también se pueden usar para robar datos de los dispositivos; por ejemplo, se puede enviar un comando para que el asistente abra un sitio web malicioso específico o envíe contenido confidencial a un contacto específico.
Los investigadores afirman que, de los 17 dispositivos probados, todos serían vulnerables a este tipo de ataque. El único que hasta ahora ha mostrado esfuerzos para contenerlo habría sido Siri, que en algunos modelos tiene firma de voz del usuario, y obliga a los atacantes a poder emular la voz de los usuarios del dispositivo para realizar tareas.
Los detalles de este estudio se presentarán en el evento USENIX Security Symposium, programado del 9 al 11 de agosto de 2023 en los Estados Unidos.
«Explorador apasionado. Aficionado al alcohol. Fanático de Twitter. Webaholic galardonado. Aficionado a la comida. Geek de la cultura pop. Organizador».
