Es posible hackear móviles mediante comandos de voz en Youtube

Un grupo de investigadores de la Universidad de Berkeley (California) ha descubierto un nuevo método que permite hackear dispositivos móviles utilizando comandos de voz ocultos, que van incrustados en vídeos de la popular red Youtube.

Para conseguir hackear smartphones, la únicamente tiene que visualizar un vídeo de Youtube específico que contenga los comandos ocultos. El usuario puede ver dicho vídeo desde diferentes fuentes cercanas, como portátiles, PC, smartTvs, tablets o smartphones.

Es posible hackear móviles mediante comandos de voz

Los comandos escondidos son recibidos por Siri o Google Now, que los filtran de ruido ambiental y los ejecutan. Los investigadores han publicado los detalles de la técnica de hackeo en un artículo denominado “Hidden Voice Commands“.

En este artículo exploramos como pueden ser atacados usando comandos de voz ocultos, que son imperceptibles para los oídos humanos, pero que son interpretados por los dispositivos. Evaluamos estos ataques usando dos modelos diferentes.

En el modelo black box, un atacante utiliza el reconomiento de voz como oráculo oculto. Mostramos como el adversario podría producir comandos difíciles de enternder, que son efectivos frente a sistemas existentes en el entorno black box.

En el modelo white box, el atacante tiene el conocimiento acerca del funcionamiento del sistema de reconocimiento de voz, así que lo utiliza para crear comandos de ataque no entendibles por el humano corriente.

Entonces, evaluamos diferentes mecanismos de defensa, incluyendo la notificación al usuario cuando se acepta un comando de voz; un protocolo verbal de ataque-respuesta y, finalmente, un mecanismo de aprendizaje automatizado que puede detectar nuestros ataques con un 99,8% de eficiencia.

Un ataque similar ya fué divisado por la agencia francesa de Inteligencia -ANSSI- en Octubre de 2015, cuando un equipo de expertos descubrió que un atacante podría controlar móviles desde una distancia de varios metros.

Los criminales podrían hackear móviles de manera remota, simplemente transmitiendo comandos de radio al sistema de recepción de voz incorporado en los teléfonos de Apple y Google (Siri y Google Now).

Es posible hackear móviles mediante comandos de voz en Youtube

Este método de ataque funcionará solamente si el dispositivo tiene los auriculares conectados al jack, y bajo estas condiciones el ataque funciona sin que se tenga que pronunciar una sola palabra. Según explican en un artículo del IEEE los investigadores José Lopes y Chaouki Kasmi:

La posibilidad de inducir señales  parasitarias en un dispositivo de comandos de voz podría tener impacto crítico a nivel de seguridad.

Así es posible hackear un smarphone usando el sonido

Esta técnica de hacking utilizó lo siguiente:

  1. Un dispositivo móvil, un sistema de auriculares para Android o iPhone, que deberán estar conectados a la salida de audio.
  2. Un transmisor de audio.

Los expertos han publicado una prueba de concepto en vídeo para el modelo black box, llevado a cabo con la presencia de ruido de fondo y con el teléfono objetivo situado a unos 2 metros de los auriculares usados para reproducir audio.

Además, esconden esconder diferentes tipos de comandos en los vídeos, incluyendo instrucciones para descargar e instalar código malicioso desde un host remoto. Lo cierto es que la primera vez que lo escuché pensé que era una posesión demoníaca 😛

Contramedidas

Según sugieren los que lo investigan, el hecho de incluir una notificación de sistema cada vez que un comando es recibido por el móvil, así como la adopción de un sistema inteligente de procesamiento “ataque-respuesta” serían formas de combatir los efectos.

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s