CIBERSEGURIDAD
David Hernández6.
Dispositivo con Alexa
El peligro al que te expones con estos dos nuevos ataques basados en ultrasonidos y con los que podrías perder el control de tu dispositivo.
Si utilizas asistentes de voz en tus dispositivos inteligentes o cuentas con una serie de aparatos con micrófono y altavoz a pleno funcionamiento, es probable que puedas estar en peligro hacia un nuevo ataque basado en ultrasonido y del que han demostrado sus devastadores efectos.
En concreto han sido los investigadores de la Universidad de Texas y la Universidad de Colorado quienes han creado una serie de ataques basados en ultrasonidos denominados NUIT (Near-Ultrasound Inaudible Trojan).
Estos ataques pueden explotar vulnerabilidades de dispositivos del Internet de las Cosas que tengan equipado micrófono y asistentes de voz, entre los que figuran los más conocidos como Google Assistant o Siri.
Estos ataques basados en ultrasonidos son inaudibles para los seres humanos, pero son detectados por este tipo de dispositivos inteligentes por lo que no sabrías que han accedido a tu dispositivo hasta que veas que las cosas parecen no ir del todo bien.
En su presentación preliminar a The Register, han mostrado este ataque bajo dos modalidades: NUIT-1 y NUIT-2.
Por una parte NUIT-1 es capaz de enviar señales ultrasónicas a un altavoz inteligente para comprometer el micrófono y el asistente de voz en el mismo dispositivo; mientras que NUIT-2 aprovechará el altavoz para atacar el micrófono y el asistente en un dispositivo diferente.
Así funcionan estos ataques
El ataque NUIT-1, se considerará un ataque silencioso de extremo a extremo, y entre otros, el asistente Siri fue completamente vulnerable al mismo.
No obstante, pudieron controlar el iPhone para bajar el volumen del teléfono inteligente al 6 %, mientras que una segunda instrucción les permitió usar Siri para abrir la puerta principal de la víctima a través de la aplicación Apple Home.
El ataque NUIT-2 envía señales ultrasónicas integradas a través de una teleconferencia como puede ser una reunión de Zoom que permitió a los ciberdelincuentes afectar a un teléfono cercano de forma remota.
Entre los dispositivos que resultaron vulnerables figuran varios modelos del iPhone, un MacBook Pro de 2021, un MacBook Air de 2017, teléfonos y tabletas Samsung Galaxy, el Amazon Echo 2 de primera generación, el Apple Watch 3, el Google Pixel 3 y el Google Home, entre otros.
Como recomendación, los investigadores avisan a los usuarios de que deben evitar comprar dispositivos diseñados con el altavoz y el micrófono juntos. También comentan que el uso de auriculares mitiga este tipo de vulnerabilidades, e igualmente habilitar la autenticación de voz en los dispositivos de asistencia personal.
En todo caso hacen un llamamiento a los grandes fabricantes de estos dispositivos, para que desarrollen herramientas para reconocer a rechazar comandos inaudibles integrados en frecuencias casi ultrasónicas.