Los investigadores de seguridad dicen que pueden utilizar ondas ultrasónicas para atacar asistentes digitales de voz tales como Bixby y Siri.
Las ondas ultrasónicas son sonidos que los humanos no pueden escuchar, por lo que el hackeo es imperceptible. El ataque se puede utilizar para enviar mensajes, hacer compras fraudulentas o tomar fotos y escuchar a los usuarios sin su conocimiento.
El ataque ultrasónico de los asistentes de voz ha sido denominado SurfingAttack por los investigadores.
El ataque utiliza ondas de sonido inaudibles para activar el teléfono inteligente objetivo. Puede apuntar a cualquier teléfono inteligente con un asistente digital incorporado, incluidos los dispositivos Sonos y Bose.
El ataque implica conectar un transductor piezoeléctrico de $ 5 a la parte inferior de una mesa para controlar a un asistente virtual cercano. Los investigadores podrían despertar a los asistentes de voz y emitir comandos para hacer llamadas telefónicas. También podrían tomar fotos o leer cualquier historial de mensajes, incluidos los textos de autenticación de dos factores.
El SurfingAttack fue probado en un total de 17 teléfonos inteligentes y resultó ser efectivo contra la mayoría. Los investigadores dicen que los dispositivos Apple iPhone, Google Pixels y Samsung Galaxy son vulnerables al ataque.
No especificaron qué modelos de iPhone están en riesgo por el ataque ultrasónico. El exploit puede hackear asistentes virtuales como Siri, Google Assistant y Bixby.
Los investigadores señalan dos modelos de teléfonos que parecen inmunes al ataque ultrasónico. Eso incluye el Huawei Mate 9 y el Samsung Galaxy Note 10+. Creen que las diferentes propiedades sonoras de estos teléfonos pueden contribuir a su inmunidad.
El ataque no funciona en altavoces inteligentes como Amazon Echo o Google Home.
Los investigadores dicen que el riesgo principal es de dispositivos encubiertos debajo de mesas o escritorios. Podrían estar activando teléfonos inteligentes encubiertos en las cercanías para robar información, como los códigos 2FA para cuentas de correo electrónico.
El hallazgo proviene de un equipo de investigadores de varias universidades. La Universidad de Washington en St. Louis, la Universidad Estatal de Michigan, la Academia de Ciencias de China y la Universidad de Nebraska-Lincoln contribuyeron al informe.
El informe se publicó por primera vez en un simposio de seguridad en San Diego.
Accede al documento completo sobre SurfingAttack.
¿Te gustó el artículo?
(Aún no hay valoraciones)
Cargando...
