Investigadores descubren que mediante ondas ultrasónicas no audibles para el oído humano es posible enviar comandos que interactúen con asistentes de voz como Google o Siri.
Investigadores de la Universidad de Washington en St. Louis bautizaron como SurfingAttack a este ataque que consiste en el envío de ondas ultrasónicas mediante las cuales se podría activar en el teléfono de una víctima asistentes de voz como Siri o Google y solicitar que lleve adelante acciones como: realizar llamadas, tomar fotografías, leer el contenido de un texto al atacante, o cualquier otra cosa que permita ejecutar el asistente.
Las ondas ultrasónicas son frecuencias que están fuera del rango de audición del oído humano, pero no de los micrófonos de un teléfono, que sí pueden registrarlas. Esto fue demostrado por los investigadores, quienes realizaron un experimento con la intención de demostrar que es posible manipular estas señales para que el teléfono las interprete como un comando. Para ello colocaron en una mesa un micrófono con un transductor piezoeléctrico y un generador de forma de onda para generar las señales adecuadas.
Los especialistas realizaron dos pruebas, una para recuperar el código de acceso enviado a través de un mensaje de texto (SMS) y otra prueba para realizar una llamada. Para la primera prueba se intentó aprovechar la opción de “leer los mensajes” que ofrecen los asistentes como el de Google, para enviar el código correspondiente al doble factor de autenticación que puede enviar un servicio a la hora de querer verificar la identidad de un usuario.
En un primer momento el atacante solicitó al asistente que bajara el volumen en el teléfono al nivel 3. De esta manera, la víctima no se de cuenta de las respuestas que brinda el teléfono al estar en un entorno en el cual existe un ruido ambiente moderado. Luego, al llegar al teléfono un mensaje que simulaba ser de un banco, desde el lado del atacante se envió al teléfono el comando “leer los mensajes”, y la respuesta fue escuchada por el micrófono ubicado en la mesa, pero no por el oído de la víctima.
La otra prueba consistió en enviar desde el lado del atacante el mensaje “llamar a Sam con el altavoz” y utilizando el micrófono bajo la mesa el atacante podía hablar por teléfono con “Sam”.
En el siguiente video se pueden ver las pruebas realizadas por los investigadores:
Según explicaron, el equipo probó 17 modelos de teléfonos diferentes (iPhone, Samsung y Motorolla) y todos eran susceptibles a los ataques de ultrasonido, excepto dos: el Huawei Mate 9 y el Samsung Galaxy Note 10.
Asimismo, también exploraron distintas superficies sólidas a través de las cuales transmitir estas ondas ultrasónicas, como madera, metal y vidrio.
Es importante marcar que es difícil de llevar adelante en la práctica este tipo de ataque, ya que, si el asistente reconoce la voz del dueño se deberá simular a través del ultrasonido y si el teléfono está bloqueado se limitan las acciones posibles para el asistente. Además, sin el micrófono cerca de la víctima que registre la voz del asistente el ataque es poco útil.
Esta no es la primera vez que se demuestra que es posible utilizar una señal acústica para interactuar con el micrófono y el altavoz de un teléfono. En 2018 publicamos el hallazgo que demostraba que mediante una señal acústica era posible robar el patrón de desbloqueo de un teléfono.
Si bien SurfingAttack es un tipo de ataque muy poco probable de llevar adelante en la realidad, no dejan de ser hallazgos relevantes, dado que muchas veces el vínculo entre lo físico y lo cibernético es poco explorado desde el punto de vista de la seguridad, explica el profesor Ning Zhang.
Por otra parte, estos descubrimientos podrían ser de utilidad para evitar en una etapa temprana que evolucione un nuevo tipo de amenaza.