El acelerómetro de los Android podría usarse para escuchar las llamadas

5 agosto, 2019
19 Compartido 3,483 Visualizaciones

El hecho de que no permitas a una aplicación acceder a tu micrófono no significa que no pueda escucharlo. Unos investigadores han creado un ataque llamado Spearphone que utiliza los sensores de movimiento de los teléfonos Android para escuchar las llamadas telefónicas, las interacciones con su asistente de voz y mucho más.

Cuando instalas una aplicación en Android, tiene que pedirte permiso si quiere acceder a tu micrófono para que pueda escuchar lo que estás diciendo. Sin embargo, los investigadores han descubierto un método alternativo.

La mayoría de los teléfonos móviles modernos tienen acelerómetros que se supone que detectan la velocidad a la que se mueve el dispositivo. Son útiles para aplicaciones de fitness, por ejemplo. Las aplicaciones de Android no necesitan permiso para acceder al acelerómetro del teléfono, por lo que los investigadores lo usaron como dispositivo de escucha. El altavoz del smartphone hace que el cuerpo del dispositivo vibre, y fueron capaces de utilizar el acelerómetro para tomar muestras de estas vibraciones.

El ataque usa una combinación de procesamiento de señales y aprendizaje automático para convertir las muestras de vibración en voz. La técnica funciona tanto si el teléfono está sobre una mesa o en la mano del usuario, siempre que el teléfono reproduzca el sonido a través del altavoz y no a través de un auricular.

Las frecuencias de muestreo del sensor de movimiento (la frecuencia con la que leen los datos) son bajas, pero los investigadores aún así obtuvieron buenos resultados. Después de aumentar las frecuencias de muestreo lo más alto posible, podrían determinar el género y la identidad del hablante remoto en un 90% y 80% de las veces respectivamente, con tan solo una palabra hablada, según afirman los investigadores.

El estudio enumera varios posibles ataques. El software podría escuchar a escondidas una llamada telefónica, detectando el género y posiblemente la identidad de la persona remota. También podría usar el reconocimiento de voz para entender lo que están diciendo.

Un software también podría usar esta técnica para escuchar archivos de audio, advirtió, sugiriendo que una aplicación comercial: »Las empresas de publicidad podrían utilizar esta información para abordar a las víctimas con anuncios personalizados, en línea con las preferencias de la víctima».

Finalmente, los sensores de movimiento podrían escuchar las respuestas de su asistente de voz digital, para descubrir que acaba de preguntarle cómo llegar a un lugar de reunión, por ejemplo.

Un atacante tendría que instalar el software malicioso en el teléfono, pero dada la cantidad de aplicaciones falsas que ya están haciendo cosas ilegítimas en los teléfonos de los usuarios, no estamos ante una idea descabellada. Alternativamente, el código de ataque podría ejecutarse en JavaScript si el usuario estaba navegando en un sitio malicioso en ese momento, añadieron.

La contramedida más obvia es activar los controles basados ​​en permisos para el acelerómetro, como lo ha hecho Google para otros sensores como el GPS. Sin embargo, esto afectaría directamente la usabilidad de los teléfonos, argumentaron los investigadores, y en cualquier caso, los usuarios no siempre hacen caso de las notificaciones de permisos.

Lo que los investigadores están describiendo aquí es un ataque de canal lateral, y no es el primero. A principios de este mes, otro equipo de investigadores destacó varias aplicaciones y bibliotecas de terceros que utilizaban información alternativa recopilada por el teléfono para inferir cosas como la ubicación cuando no podían obtener permiso para usar el GPS. En junio, los investigadores de la Universidad de Cambridge también descubrieron que los sensores podían identificar de manera única teléfonos individuales.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

5 consejos para evitar los ciberataques a móviles
Soluciones Seguridad
21 compartido1,693 visualizaciones
Soluciones Seguridad
21 compartido1,693 visualizaciones

5 consejos para evitar los ciberataques a móviles

Vicente Ramírez - 21 diciembre, 2018

Según el último informe de Check Point, 1 de cada 5 empleados causará una brecha de seguridad mediante el mal…

El grupo de ciberdelincuentes Winnti apunta a las universidades de Hong Kong mientras los estudiantes se manifiestan en las calles
Actualidad
4 compartido507 visualizaciones
Actualidad
4 compartido507 visualizaciones

El grupo de ciberdelincuentes Winnti apunta a las universidades de Hong Kong mientras los estudiantes se manifiestan en las calles

Alicia Burrueco - 6 febrero, 2020

El laboratorio de ESET ha descubierto nuevas actividades llevadas a cabo por el grupo de ciberdelincuentes Winnti contra las universidades de…

Los firewalls de aplicaciones web podrían ser desplazados por los RASP
Soluciones Seguridad
12 compartido2,709 visualizaciones
Soluciones Seguridad
12 compartido2,709 visualizaciones

Los firewalls de aplicaciones web podrían ser desplazados por los RASP

Mónica Gallego - 3 septiembre, 2018

La propuesta RASP (Runtime Application Self-Protection) de Hdiv Security es un software que se integra en las aplicaciones del cliente…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.