SurfingAttack, como el ultrasonido puede violar a Siri y al Asistente de Google

Quien soy
Aina Prat Blasi
@ainapratblasi

¬ŅEs posible activar los comandos de voz de asistentes virtuales, como Google Assistant y Siri, sin usar la voz humana? S√≠, se llama SurfingAttack y usa ultrasonido. Esta es la conclusi√≥n de un grupo de investigaci√≥n de la Universidad de Washington en St. Louis que ha demostrado c√≥mo la propagaci√≥n de ondas ultras√≥nicas a trav√©s de superficies como la mesa puede activar los sistemas de reconocimiento de voz y darles algunos comandos.

Un escenario que abre una profunda vulnerabilidad que los atacantes pueden aprovechar para acceder al contenido de los tel√©fonos inteligentes sin el conocimiento de los propietarios. ‚ÄúLos ultrasonidos -dice- no emiten ning√ļn sonido, pero a√ļn pueden activar a Siri y hacerle hacer llamadas, tomar fotograf√≠as o leer el contenido de un mensaje recibido‚ÄĚ. Las ondas ultras√≥nicas no son perceptibles para el o√≠do humano, pero s√≠ para el micr√≥fono de un tel√©fono m√≥vil.. "Si sabes c√≥mo jugar con las se√Īales, puedes manipularlas de tal manera que cuando el tel√©fono reciba ondas de sonido, pensar√° que est√°s dando una orden", explica Ning Zhang, profesor asistente de ciencias de la computaci√≥n e ingenier√≠a en la escuela McKelvey. de Ingenier√≠a.



Para realizar el experimento, los investigadores colocaron un micr√≥fono y un transductor piezoel√©ctrico (PZT), que convierte la electricidad en ondas ultras√≥nicas, y un generador de formas de onda para enviar las se√Īales correctas debajo de una mesa. Al administrar todo a trav√©s del software instalado en una PC, fue suficiente enviar comandos codificados al tel√©fono inteligente colocado en la mesa para obtener la acci√≥n deseada del asistente virtual.

Inmediatamente se le pidió al asistente que bajara el volumen. De esta forma, el usuario no puede escuchar las respuestas en un entorno con un nivel moderado de ruido. Posteriormente, se dio la orden de leer el mensaje recibido que contenía el código de autenticación de dos factores para un servicio bancario. La respuesta se escuchó por el micrófono debajo de la mesa, pero no de la víctima.



Por supuesto, para que el ataque tenga √©xito, el usuario ni siquiera tiene que notar que la pantalla de su dispositivo est√° encendida. El equipo prob√≥ 17 modelos diferentes de tel√©fonos inteligentes de varias marcas. (Google, Motorola, Samsung, Xiaomi, Huawei y Apple). Todos menos el Huawei Mate 9 y el Galaxy Note 10+ resultaron vulnerables a los ataques. Seg√ļn los investigadores, la raz√≥n podr√≠a ser el dise√Īo curvo adoptado por los dispositivos y los materiales utilizados que afectan las se√Īales.

La prueba tambi√©n trabaj√≥ en superficies de diferentes materiales, como metal, vidrio y madera, y colocando los dispositivos en diferentes posiciones. En cualquier caso, el ataque tuvo √©xito con algunas dificultades m√°s solo con el pl√°stico. Entonces, ¬Ņc√≥mo puede protegerse de estos posibles ataques?


La respuesta de los investigadores se dirige hacia el software. La idea ser√≠a desarrollar un software capaz de diferenciar las ondas ultras√≥nicas de las voces humanas. O bien, se podr√≠a intervenir en el dise√Īo y el dise√Īo asumiendo, por ejemplo, una posici√≥n diferente del micr√≥fono para amortiguar las ondas ultras√≥nicas. Mientras tanto, el usuario podr√≠a usar una tela suave, como un mantel, sobre la que colocar su tel√©fono inteligente.


Galaxy Note 10+ est√° disponible para su compra en Amazon con uno descuento del EUR 250 en comparaci√≥n con el precio de lista.  

A√Īade un comentario de SurfingAttack, como el ultrasonido puede violar a Siri y al Asistente de Google
¡Comentario enviado con éxito! Lo revisaremos en las próximas horas.