GAMBADAS: Hackeando el asistente de voz de tu móvil usando ultrasonidos

22/09/2017
Artículo original

Todos los móviles de los últimos años llevan incorporado reconocimiento de instrucciones por voz. No solo los móviles, también PCs de sobremesa (Cortana y Siri), muchos coches y la última moda: los asistentes del hogar estilo Amazon Echo (que lleva a Alexa), Apple HomePod (con Siri) o Google Home (que incorpora Google Assistant).

Alexa, Homepod y Google Home

El funcionamiento de estos asistentes se basa principalmente en estar atentos todo el rato a los sonidos a su alrededor y reconocer cuándo les hablas para obedecer tus órdenes. Y lo mismo ocurre (si no lo desactivas) con tu móvil. Por ejemplo, basta que le digas "Oye Siri" a tu iPhone o "OK Google" a tu dispositivo Android, para que ambos asistentes se pongan a conversar contigo. Lo mismo pasa con Windows y Cortana, Bixby con dispositivos Samsung, etc... Los agentes conversacionales son lo más ahora mismo.

Por supuesto, algo tan personal como esto, todo el rato atento a tus órdenes, es algo que cualquiera querría crackear. De hecho fue famoso en la pasada Navidad el incidente con el pedido automático de muñecas a Amazon debido a un anuncio de la tele que interaccionaba con Alexa.

Ahora unos investigadores chinos acaban de dar con otra vuelta de tuerca a este tipo de ataques: hacerlo sin que ni siquiera te enteres de lo que ocurre.

Mediante una técnica denominada Ataque Delfín, generaron instrucciones concretas para estos asistentes utilizando frecuencias ultrasónicas, que son demasiado elevadas para que las escuche un ser humano, al igual que los silbatos para perros. Sin embargo los micrófonos ultrasensibles de los dispositivos sí que los reciben y el software del asistente virtual es capaz de procesarlos.

Esto les permite lanzar instrucciones para los asistentes y hacer casi de todo con ellos, encima sin que tú te enteres hasta que es demasiado tarde. Por ejemplo, puede hacer un "Ok Google" seguido de una instrucción para que navegue a un sitio web bajo su control y que se provoque la descarga de un programa malicioso que tome el control del sistema. O decirle a Amazon Echo que abra la puerta de casa si lo tienes conectado a ella. Incluso han comprobado cómo podrían hacer que algunos modelos de coche (como el Audi Q3) cambien las direcciones de destino en el GPS, llevándote a un sitio equivocado.

Y esto se puede hacer en una calle con mucha gente y activar ciertas instrucciones en todos los dispositivos a la vez ???

En este vídeo se puede ver una de las pruebas de concepto:

[youtube:21HjF4A3WE4]

Nuestra recomendación: desactivar el "Always On" de estos asistentes en el móvil, para que se activen solo bajo demanda. Te obliga a usar los dedos par interaccionar, pero es mucho más seguro. Si lo que tienes es un asistente en el hogar (no tan abundantes aquí como en EEUU)... entonces lo tienes más complicado pues todo el objeto de los mismos es precisamente que les hables en cualquier momento.

Una vez más los peligros de la vida moderna que nos acechan ?