Investigadores de la universidad de China han descubierto una manera de activar los sistemas de reconocimiento de voz de los smartphones sin pronunciar un sonido. La activación, que han denominado «DolphinAttack», es posible debido a una vulnerabilidad de seguridad que, según los resultados del estudio, es bastante común en la mayoría de los asistentes de voz.
¿Cómo funciona?
La técnica de ataque consiste en indicar comandos al sistema de reconocimiento de voz utilizando frecuencias de ultrasonidos demasiado altas (más de 20kHz) para que nuestros oídos no puedan percibirlas, pero perfectamente reconocibles para los micrófonos de los smartphones.
Como indica el equipo de desarrolladores de la universidad, los cibercriminales podrían ordenar a los móviles que realizaran determinadas acciones activando Siri y Alexa, como por ejemplo forzar a los dispositivos a visitar webs maliciosas e incluso abrir una puerta si el usuario ha conectado su smartphone a un smartlock.
Es decir, como muchos de los usuarios de smartphone han activado el sistema de reconocimiento de voz para realizar múltiples funciones como marcar un número, enviar mensajes, iniciar la grabación a través de la cámara del dispositivo, visitar páginas web, etc. todas estas operaciones podrían ser controladas por los hackers utilizando una frecuencia de ultrasonidos superior a 20kHz y el usuario del smartphone no se daría cuenta ya que el sonido no sería audible para él. Incluso en caso de que el propietario tuviera el teléfono junto a él, los atacantes podrían activar la función Off del sonido del dispositivo y apagar la pantalla, con lo que el usuario no sería consciente de las operaciones que su teléfono está realizando en ese momento.
El equipo de trabajo implicado en este descubrimiento ha indicado que esta forma de ataque es «apta» para la mayoría de las plataformas de reconocimiento de voz, afectando a iOS y Android, los programas Siri, Google Assistant, Samsung S Voice, Huawei HiVoice, Cortana y Alexa y a dispositivos como móviles, iPads, MacBooks, Amazon Echo y Audi Q3.
La distancia máxima a la que los smartphones respondieron cuando los investigadores emitieron los ultrasonidos fueron los 175 centímetros.
¿Cómo prevenir los ataques?
Los desarrolladores han sugerido que los fabricantes de smartphone inhiban la capacidad de los teléfonos para aceptar órdenes recibidas mediante sonidos de más de 20kHz. No sería 100% efectivo pero al menos los propietarios de los teléfonos tendrían más opciones para detectar el ciberataque. Mientras tanto, lo que sí que pueden hacer los usuarios es apagar el asistente de voz.
