Los asistentes virtuales por voz como Siri y Google Now detectan palabras clave en tus preguntas para entenderlas y proporcionarte el servicio que solicitas. Pero, además, tienen acceso a la mayoría de herramientas del teléfono. Por ejemplo, Siri puede buscar en la agenda a tus amigos y decirte su ubicación, y tanto el asistente de Apple como el de Google permiten realizar llamadas o escribir correos y mensajes cortos con un simple “envía un mensaje a…”.
Pero, ¿y si no fueras solo tú el que puede dictarles comandos? ¿Y si alguien pudiera chivarle órdenes de forma remota sin tener que pronunciar una sola palabra?
Un grupo de investigadores de la Agencia Nacional de Seguridad de los Sistemas de Información francesa (ANSSI) ha descubierto que, efectivamente, los asistentes podrían estar escuchando a otras personas. Han encontrado un método con el que pedirles que realicen distintas tareas desde una distancia de más de 10 metros.
No, no se trata de usar un altavoz; los expertos en seguridad han utilizado ondas de radio para comunicarse con estas herramientas de modo silencioso. El único requisito es que tengan conectados un par de auriculares con un micrófono incorporado.
Para distancias cortas (unos dos metros), las herramientas necesarias son de lo más simple: los investigadores utilizaron el programa de código abierto GNU Radio, una radio USRP, una antena y un amplificador de señal.
Los cascos hacen de antena (en los móviles con radio necesitas conectarlos para poder escucharla) y el cable permitiría a los cibercriminales convertir las ondas electromagnéticas en señales eléctricas.
Una vez traducido el mensaje al idioma del dispositivo, se comportarían como un audio procedente del micrófono: el sistema operativo lo reconocería como tal, y transmitiría a Siri o Google Now, según el caso, las indicaciones.
De esta forma, un ciberdelincuente podría ordenar a los asistentes que haga llamadas, envíe mensajes de texto o marque su propio número para convertir el teléfono en una herramienta de escucha. Además, podría enviar al buscador a una página cargada de malware y enviar mensajes con spam o para realizar ataques de phishing a través del correo, Facebook o Twitter.
“La posibilidad de inducir señales en los dispositivos que aceptan comandos de voz puede provocar un aumento de ataques de gran impacto en seguridad”, aseguran los autores en su estudio, publicado en el repositorio digital IEEE.
Todo lo que un usuario puede hacer mediante órdenes pronunciadas en voz alta está también con este método en manos de los ciberdelincuentes, que tendrían la posibilidad de comunicarse a la vez con varios aparatos. En lugares como un aeropuerto o un restaurante, los ataques podrían ser masivos.
La estrategia presenta, no obstante, algunas limitaciones. Muchos teléfonos Android no tienen Google Now disponible en la pantalla bloqueada, o lo tienen configurado para responder solo a su voz. Aunque en Siri viene por defecto en la pantalla, la última versión (del iPhone 6) también permite reconocer la voz del dueño del dispositivo.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
