El acelerómetro de los Android podría usarse para escuchar las llamadas

5 agosto, 2019
19 Compartido 2,251 Visualizaciones

El hecho de que no permitas a una aplicación acceder a tu micrófono no significa que no pueda escucharlo. Unos investigadores han creado un ataque llamado Spearphone que utiliza los sensores de movimiento de los teléfonos Android para escuchar las llamadas telefónicas, las interacciones con su asistente de voz y mucho más.

Cuando instalas una aplicación en Android, tiene que pedirte permiso si quiere acceder a tu micrófono para que pueda escuchar lo que estás diciendo. Sin embargo, los investigadores han descubierto un método alternativo.

La mayoría de los teléfonos móviles modernos tienen acelerómetros que se supone que detectan la velocidad a la que se mueve el dispositivo. Son útiles para aplicaciones de fitness, por ejemplo. Las aplicaciones de Android no necesitan permiso para acceder al acelerómetro del teléfono, por lo que los investigadores lo usaron como dispositivo de escucha. El altavoz del smartphone hace que el cuerpo del dispositivo vibre, y fueron capaces de utilizar el acelerómetro para tomar muestras de estas vibraciones.

El ataque usa una combinación de procesamiento de señales y aprendizaje automático para convertir las muestras de vibración en voz. La técnica funciona tanto si el teléfono está sobre una mesa o en la mano del usuario, siempre que el teléfono reproduzca el sonido a través del altavoz y no a través de un auricular.

Las frecuencias de muestreo del sensor de movimiento (la frecuencia con la que leen los datos) son bajas, pero los investigadores aún así obtuvieron buenos resultados. Después de aumentar las frecuencias de muestreo lo más alto posible, podrían determinar el género y la identidad del hablante remoto en un 90% y 80% de las veces respectivamente, con tan solo una palabra hablada, según afirman los investigadores.

El estudio enumera varios posibles ataques. El software podría escuchar a escondidas una llamada telefónica, detectando el género y posiblemente la identidad de la persona remota. También podría usar el reconocimiento de voz para entender lo que están diciendo.

Un software también podría usar esta técnica para escuchar archivos de audio, advirtió, sugiriendo que una aplicación comercial: »Las empresas de publicidad podrían utilizar esta información para abordar a las víctimas con anuncios personalizados, en línea con las preferencias de la víctima».

Finalmente, los sensores de movimiento podrían escuchar las respuestas de su asistente de voz digital, para descubrir que acaba de preguntarle cómo llegar a un lugar de reunión, por ejemplo.

Un atacante tendría que instalar el software malicioso en el teléfono, pero dada la cantidad de aplicaciones falsas que ya están haciendo cosas ilegítimas en los teléfonos de los usuarios, no estamos ante una idea descabellada. Alternativamente, el código de ataque podría ejecutarse en JavaScript si el usuario estaba navegando en un sitio malicioso en ese momento, añadieron.

La contramedida más obvia es activar los controles basados ​​en permisos para el acelerómetro, como lo ha hecho Google para otros sensores como el GPS. Sin embargo, esto afectaría directamente la usabilidad de los teléfonos, argumentaron los investigadores, y en cualquier caso, los usuarios no siempre hacen caso de las notificaciones de permisos.

Lo que los investigadores están describiendo aquí es un ataque de canal lateral, y no es el primero. A principios de este mes, otro equipo de investigadores destacó varias aplicaciones y bibliotecas de terceros que utilizaban información alternativa recopilada por el teléfono para inferir cosas como la ubicación cuando no podían obtener permiso para usar el GPS. En junio, los investigadores de la Universidad de Cambridge también descubrieron que los sensores podían identificar de manera única teléfonos individuales.

Te podría interesar

ElevenPaths y Proofpoint firman un acuerdo para complementar la oferta de protección e-mail de Telefónica
Soluciones Seguridad
19 compartido3,421 visualizaciones
Soluciones Seguridad
19 compartido3,421 visualizaciones

ElevenPaths y Proofpoint firman un acuerdo para complementar la oferta de protección e-mail de Telefónica

Mónica Gallego - 15 febrero, 2019

El objetivo es proporcionar a los clientes B2B de Telefónica servicios avanzados y gestionados de monitorización y protección e-mail, reforzados…

Cyberpedia: ¿Qué es una VPN y cómo puedo proteger la de mi empresa?
Cyberpedia
14 compartido2,408 visualizaciones
Cyberpedia
14 compartido2,408 visualizaciones

Cyberpedia: ¿Qué es una VPN y cómo puedo proteger la de mi empresa?

Vicente Ramírez - 3 abril, 2018

Muchos analistas mundiales aseguran que el futuro laboral pasa por el teletrabajo pero con la distancia y los espacios difuminados…

La startup Española Loozend dice  “adiós al backup”
Soluciones Seguridad
28 compartido1,224 visualizaciones
Soluciones Seguridad
28 compartido1,224 visualizaciones

La startup Española Loozend dice “adiós al backup”

Vicente Ramírez - 9 mayo, 2019

La solución, que “guarda todo”, “no borra nada” y “no tiene límite de espacio” ha sido diseñada por el creador…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.