Los ataques de navegación te permiten secuestrar asistentes de voz como Siri, Alexa, Google, Bixby, etc., con ondas de ultrasonido

Los asistentes de voz lo ayudan con las tareas diarias, ya sea concertar una cita con un cliente para tocar música y más. El mercado relacionado con los asistentes de voz está lleno de opciones: Google, Siri, Alexa y Bixby. Estos asistentes se activan mediante comandos de voz y hacen las cosas. Por ejemplo, puede pedirle a Alexa que reproduzca algunas canciones de su elección. Estos dispositivos pueden ser secuestrados y utilizados contra el propietario del dispositivo. Hoy aprenderemos sobre Ataques de surf el uso de ondas de ultrasonido y los posibles problemas que plantea.

¿Qué es un ataque de surf?

Imagen de Surfing Attacks

Los dispositivos inteligentes están equipados con asistentes de voz como Google Home Assistant, Alexa de Amazon, Siri de Apple y algunos asistentes de voz no tan populares. No pude encontrar ninguna definición en ningún lugar de Internet, así que la defino de la siguiente manera:

“Los ataques de navegación se refieren al secuestro de asistentes de voz que utilizan sonidos inaudibles como ondas de ultrasonido, con la intención de acceder a los datos de los propietarios de dispositivos sin el conocimiento del propietario”.

Es posible que ya sepa que los oídos humanos pueden percibir sonidos solo entre un rango de frecuencias (20 Hz a 20 KHz. Si alguien envía señales de audio que están fuera del espectro de audio de los oídos humanos, la persona no puede escucharlas. Lo mismo ocurre con los ultrasonidos. La frecuencia es más allá de la percepción de los oídos humanos.

Los malos comenzaron a usar ondas de ultrasonido para secuestrar dispositivos como teléfonos inteligentes y hogares inteligentes, que usan comandos de voz. Estos comandos de voz a la frecuencia de las ondas de ultrasonido están más allá de la percepción humana. Eso permite a los piratas informáticos obtener la información que desean (que se almacena en los dispositivos inteligentes activados por voz), con la ayuda de los asistentes de sonido. Usan sonidos inaudibles para este fin.

Para los ataques de navegación, los piratas informáticos no necesitan estar en la línea de visión del dispositivo inteligente para controlarlo mediante asistentes de voz. Por ejemplo, si se coloca un iPhone sobre la mesa, la gente asume que la voz puede moverse en el aire, por lo que si el comando de voz llega por el aire, pueden notar a los piratas informáticos. Pero no es así porque las ondas de voz solo necesitan un conductor para propagarse.

Sepa que los artefactos sólidos también pueden ayudar a que la voz se propague siempre que pueda vibrar. Una mesa hecha de madera todavía puede transmitir ondas de voz a través de la madera. Estas son las ondas de ultrasonido que se utilizan como comandos para hacer cosas ilegalmente en los teléfonos inteligentes de los usuarios objetivo u otros dispositivos inteligentes que utilizan asistentes de voz como Google Home o Alexa.

Leer: ¿Qué es un ataque de spray de contraseña?

¿Cómo funcionan los Surfing Attacks?

Usando ondas de ultrasonido inaudibles que pueden viajar a través de la superficie donde se guardan las máquinas. Por ejemplo, si el teléfono está sobre una mesa de madera, todo lo que necesitan hacer es conectar una máquina a la mesa que pueda enviar ondas de ultrasonido para un ataque de surf.

En realidad, un dispositivo está conectado a la mesa de la víctima o cualquier superficie que esté usando para apoyar al asistente de voz. Este dispositivo primero baja el volumen de asistentes inteligentes para que las víctimas no sospechen nada. El comando viene a través del dispositivo adjunto a la mesa y la respuesta al comando también es recopilada por la misma máquina o cualquier otra cosa que pueda estar en un lugar remoto.

Por ejemplo, se puede dar un comando que diga: «Alexa, lee el SMS que acabo de recibir». Este comando es inaudible para las personas en la habitación. Alexa lee el SMS que contiene OTP (contraseña de un solo uso) en voz extremadamente baja. Esta respuesta es capturada nuevamente por el dispositivo de secuestro y enviada a donde quieran los piratas informáticos.

Estos ataques se denominan ataques de surf. He intentado eliminar todas las palabras técnicas del artículo para que incluso un no técnico pueda entender este problema. Para lectura avanzada, aquí está un enlace a un trabajo de investigación eso lo explica mejor.

Leer siguiente: ¿Qué son los ataques de Living Off The Land?

Imagen de Surfing Attacks

Contenido relacionado

Deja un comentario