Ultrasonido inaudible que puede controlar sigilosamente su altavoz inteligente

Investigadores universitarios estadounidenses han desarrollado un nuevo ataque llamado "Troyano inaudible de ultrasonido cercano" (NUIT) que puede lanzar ataques silenciosos contra dispositivos alimentados por asistentes de voz, como teléfonos inteligentes, altavoces inteligentes y otros IoT.

El equipo de investigadores está formado por el profesor Guenevere Chen de la Universidad de Texas en San Antonio (UTSA), su estudiante de doctorado Qi Xia y el profesor Shouhuai Xu de la Universidad de Colorado (UCCS).

El equipo demostró ataques NUIT contra asistentes de voz modernos que se encuentran dentro de millones de dispositivos, incluidos Siri de Apple, Asistente de Google, Cortana de Microsoft y Alexa de Amazon, mostrando la capacidad de enviar comandos maliciosos a esos dispositivos.

Ataques inaudibles

El principio fundamental que hace que NUIT sea efectivo y peligroso es que los micrófonos en dispositivos inteligentes pueden responder a ondas de ultrasonido cercanas que el oído humano no puede, realizando así el ataque con un riesgo mínimo de exposición mientras se sigue utilizando la tecnología de altavoces convencionales.

En una publicación en el sitio de USTA, Chen explicó que NUIT podría incorporarse a sitios web que reproducen medios o videos de YouTube, por lo que engañar a los objetivos para que visiten estos sitios o reproduzcan medios maliciosos en sitios confiables es un caso relativamente simple de ingeniería social.

Los investigadores dicen que los ataques NUIT se pueden llevar a cabo utilizando dos métodos diferentes.

El primer método, NUIT-1, es cuando un dispositivo es tanto el origen como el objetivo del ataque. Por ejemplo, se puede lanzar un ataque en un teléfono inteligente reproduciendo un archivo de audio que hace que el dispositivo realice una acción, como abrir la puerta de un garaje o enviar un mensaje de texto.

El otro método, NUIT-2, es cuando el ataque es lanzado por un dispositivo con un altavoz a otro dispositivo con un micrófono, como un sitio web a un altavoz inteligente.

"Si reproduces YouTube en tu televisor inteligente, ese televisor inteligente tiene un altavoz, ¿verdad? El sonido de los comandos maliciosos de NUIT se volverá inaudible, y también puede atacar su teléfono celular y comunicarse con su Asistente de Google o dispositivos Alexa ", explicó G. Chen.

"Incluso puede suceder en Zooms durante las reuniones. Si alguien se reactiva, puede incrustar la señal de ataque para hackear su teléfono que se coloca junto a su computadora durante la reunión".

Chen explicó que el altavoz desde donde se lanza NUIT debe configurarse por encima de un cierto nivel de volumen para que el ataque funcione, mientras que los comandos maliciosos duran solo 0,77 segundos.



"Incluso puede suceder en Zooms durante las reuniones. Si alguien se reactiva, puede incrustar la señal de ataque para hackear su teléfono que se coloca junto a su computadora durante la reunión".

Chen explicó que el altavoz desde donde se lanza NUIT debe configurarse por encima de un cierto nivel de volumen para que el ataque funcione, mientras que los comandos maliciosos duran solo 0,77 segundos.



Los escenarios de ataque demostrados por los investigadores implican el envío de comandos a IoTs conectados al teléfono inteligente, como desbloquear puertas o deshabilitar alarmas domésticas, con poco riesgo de que la víctima se dé cuenta de que esta actividad está teniendo lugar.

Sin embargo, dado que los asistentes inteligentes también pueden realizar acciones como abrir sitios web, los atacantes podrían llevar a los teléfonos inteligentes a sitios web de "abrevadero" que pueden usarse para colocar malware en el dispositivo explotando una vulnerabilidad en su navegador sin interacción por parte de la víctima.

Eficacia y precauciones

Los investigadores probaron 17 dispositivos populares que ejecutan los asistentes de voz y descubrieron que todos son propietarios usando cualquier voz, incluso generada por robots, excepto Apple Siri, que requiere emular o robar la voz del objetivo para aceptar comandos.

Por lo tanto, si puede autenticarse en su dispositivo inteligente utilizando su huella digital vocal, se recomienda que active este método de seguridad adicional.

Chen también aconsejó que los usuarios monitoreen sus dispositivos de cerca para las activaciones de micrófonos, que tienen indicadores dedicados en pantalla en teléfonos inteligentes iOS y Android.

Finalmente, el uso de auriculares en lugar de altavoces para escuchar algo o transmitir sonido protege eficazmente contra NUIT o ataques similares.

Los detalles completos del ataque NUIT se presentarán en el 32º Simposio de Seguridad USENIX programado para el 9 y 11 de agosto de 2023, en el Anaheim Marriott en Anaheim, CA, EE.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta