El acelerómetro de los Android podría usarse para escuchar las llamadas

5 agosto, 2019
19 Compartido 2,374 Visualizaciones

El hecho de que no permitas a una aplicación acceder a tu micrófono no significa que no pueda escucharlo. Unos investigadores han creado un ataque llamado Spearphone que utiliza los sensores de movimiento de los teléfonos Android para escuchar las llamadas telefónicas, las interacciones con su asistente de voz y mucho más.

Cuando instalas una aplicación en Android, tiene que pedirte permiso si quiere acceder a tu micrófono para que pueda escuchar lo que estás diciendo. Sin embargo, los investigadores han descubierto un método alternativo.

La mayoría de los teléfonos móviles modernos tienen acelerómetros que se supone que detectan la velocidad a la que se mueve el dispositivo. Son útiles para aplicaciones de fitness, por ejemplo. Las aplicaciones de Android no necesitan permiso para acceder al acelerómetro del teléfono, por lo que los investigadores lo usaron como dispositivo de escucha. El altavoz del smartphone hace que el cuerpo del dispositivo vibre, y fueron capaces de utilizar el acelerómetro para tomar muestras de estas vibraciones.

El ataque usa una combinación de procesamiento de señales y aprendizaje automático para convertir las muestras de vibración en voz. La técnica funciona tanto si el teléfono está sobre una mesa o en la mano del usuario, siempre que el teléfono reproduzca el sonido a través del altavoz y no a través de un auricular.

Las frecuencias de muestreo del sensor de movimiento (la frecuencia con la que leen los datos) son bajas, pero los investigadores aún así obtuvieron buenos resultados. Después de aumentar las frecuencias de muestreo lo más alto posible, podrían determinar el género y la identidad del hablante remoto en un 90% y 80% de las veces respectivamente, con tan solo una palabra hablada, según afirman los investigadores.

El estudio enumera varios posibles ataques. El software podría escuchar a escondidas una llamada telefónica, detectando el género y posiblemente la identidad de la persona remota. También podría usar el reconocimiento de voz para entender lo que están diciendo.

Un software también podría usar esta técnica para escuchar archivos de audio, advirtió, sugiriendo que una aplicación comercial: »Las empresas de publicidad podrían utilizar esta información para abordar a las víctimas con anuncios personalizados, en línea con las preferencias de la víctima».

Finalmente, los sensores de movimiento podrían escuchar las respuestas de su asistente de voz digital, para descubrir que acaba de preguntarle cómo llegar a un lugar de reunión, por ejemplo.

Un atacante tendría que instalar el software malicioso en el teléfono, pero dada la cantidad de aplicaciones falsas que ya están haciendo cosas ilegítimas en los teléfonos de los usuarios, no estamos ante una idea descabellada. Alternativamente, el código de ataque podría ejecutarse en JavaScript si el usuario estaba navegando en un sitio malicioso en ese momento, añadieron.

La contramedida más obvia es activar los controles basados ​​en permisos para el acelerómetro, como lo ha hecho Google para otros sensores como el GPS. Sin embargo, esto afectaría directamente la usabilidad de los teléfonos, argumentaron los investigadores, y en cualquier caso, los usuarios no siempre hacen caso de las notificaciones de permisos.

Lo que los investigadores están describiendo aquí es un ataque de canal lateral, y no es el primero. A principios de este mes, otro equipo de investigadores destacó varias aplicaciones y bibliotecas de terceros que utilizaban información alternativa recopilada por el teléfono para inferir cosas como la ubicación cuando no podían obtener permiso para usar el GPS. En junio, los investigadores de la Universidad de Cambridge también descubrieron que los sensores podían identificar de manera única teléfonos individuales.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Webstresser, el servicio de DDos de alquiler, ha sido confiscado
Actualidad
33 compartido1,985 visualizaciones
Actualidad
33 compartido1,985 visualizaciones

Webstresser, el servicio de DDos de alquiler, ha sido confiscado

José Luis - 18 mayo, 2018

La policía derriba el servicio de DDoS de alquiler más grande del mundo. Las autoridades británicas anunciaron a finales del…

Aristedes Mahairas, director de la unidad de Ciberoperaciones del FBI en Nueva York, y Christian Lifländer, director de Ciberseguridad de la OTAN en DES2018
Eventos
7 compartido1,657 visualizaciones
Eventos
7 compartido1,657 visualizaciones

Aristedes Mahairas, director de la unidad de Ciberoperaciones del FBI en Nueva York, y Christian Lifländer, director de Ciberseguridad de la OTAN en DES2018

Mónica Gallego - 11 mayo, 2018

Aristedes Mahairas, director de la unidad de Ciberoperaciones del FBI en Nueva York, y Christian Lifländer, director de Ciberseguridad de…

Samsung Pay alcanza los 100 millones de euros en transacciones en España
FINTECH
508 visualizaciones
FINTECH
508 visualizaciones

Samsung Pay alcanza los 100 millones de euros en transacciones en España

José Luis - 1 febrero, 2018

Según un estudio realizado por IPSOS el 70% de los encuestados asegura que una de las razones para volver a…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.