Los hackers pueden controlar silenciosamente con luz láser tu Google Home, Alexa o Siri
- Seguridad
- Posted
- ¡Escribe el primer comentario!
- Visto 109 veces
Denominado 'Light Commands el truco se basa en una vulnerabilidad en los micrófonos MEMS integrados
Un equipo de investigadores de ciberseguridad ha descubierto una inteligente técnica para inyectar comandos inaudibles e invisibles de forma remota en dispositivos controlados por voz, todo con solo encender un láser en el dispositivo objetivo en lugar de usar palabras habladas.
Denominado 'Light Commands', el truco se basa en una vulnerabilidad en los micrófonos MEMS integrados en sistemas populares controlados por voz ampliamente utilizados que responden involuntariamente a la luz como si fuera sonido.
Según los experimentos realizados por un equipo de investigadores de las universidades japonesa y de Michigan, un atacante remoto que se encuentre a una distancia de varios metros de un dispositivo puede disparar el ataque de manera encubierta simplemente modulando la amplitud de la luz láser para producir una onda de presión acústica.
"Al modular una señal eléctrica en la intensidad de un haz de luz, los atacantes pueden engañar a los micrófonos para que produzcan señales eléctricas como si estuvieran recibiendo audio genuino", dijeron los investigadores en su documento [PDF].
¿No suena esto espeluznante? Ahora lee cuidadosamente esta parte ...
Los asistentes de voz inteligentes en tus teléfonos, tabletas y otros dispositivos inteligentes, como Google Home y Nest Cam IQ, Amazon Alexa y Echo, Portal de Facebook, dispositivos Apple Siri, son todos vulnerables a este nuevo ataque de inyección de señal basado en luz.
"Como tal, cualquier sistema que use micrófonos MEMS y actúe sobre estos datos sin la confirmación adicional del usuario podrÃa ser vulnerable", dijeron los investigadores.
Dado que la técnica finalmente permite a los atacantes inyectar comandos como un usuario legÃtimo, el impacto de dicho ataque se puede evaluar en función del nivel de acceso que tienen tus asistentes de voz sobre otros dispositivos o servicios conectados.
Por lo tanto, con el ataque de comandos de luz, los atacantes también pueden secuestrar cualquier sistema inteligente digital conectado a los asistentes controlados por voz, por ejemplo:
• Controlar los interruptores inteligentes del hogar,
• Abrir puertas de garaje inteligentes,
• Hacer compras en lÃnea,
• Desbloquear y arrancar ciertos vehÃculos de forma remota,
• Abrir cerraduras inteligentes forzando sigilosamente el número PIN del usuario.
Como se muestra en la demostración de video que se enumera a continuación: En uno de sus experimentos, los investigadores simplemente inyectaron el comando "OK Google, abre la puerta del garaje" a un Google Home disparando un rayo láser en un Google Home que estaba conectado a él y abrieron con éxito la puerta de un garaje.
En un segundo experimento, los investigadores emitieron con éxito el mismo comando, pero esta vez desde un edificio separado, a unos 70 metros del dispositivo de Google Home a través de una ventana de cristal.
Además de los dispositivos de mayor alcance, los investigadores también pudieron probar sus ataques contra una variedad de dispositivos de teléfonos inteligentes que usan asistentes de voz, incluidos iPhone XR, Samsung Galaxy S9 y Google Pixel 2, pero solo funcionan a distancias cortas.
El alcance máximo para este ataque depende de la potencia del láser, la intensidad de la luz y, por supuesto, tus capacidades de punterÃa. Además de esto, las barreras fÃsicas (por ejemplo, ventanas) y la absorción de ondas ultrasónicas en el aire pueden reducir aún más el alcance del ataque.
Además, en los casos en que está habilitado el reconocimiento de voz, los atacantes pueden vencer la función de autenticación del hablante construyendo la grabación de los comandos de voz deseados a partir de las palabras relevantes pronunciadas por el propietario legÃtimo del dispositivo.
Según los investigadores, estos ataques se pueden montar "fácil y económicamente", utilizando un puntero láser simple (menos de $ 20), un controlador láser ($ 339) y un amplificador de sonido ($ 28). Para su configuración, también usaron un teleobjetivo ($ 199.95) para enfocar el láser para ataques de largo alcance.
¿Cómo puedes protegerte contra la vulnerabilidad de la luz en la vida real? Los fabricantes de software deberÃan ofrecer a los usuarios agregar una capa adicional de autenticación antes de procesar comandos para mitigar los ataques maliciosos.
Por ahora, la solución mejor y común es mantener la lÃnea de visión de tus dispositivos de asistente de voz bloqueados fÃsicamente desde el exterior y evitar darle acceso a cosas a las que no deseas que acceda otra persona.
El equipo de investigadores, Takeshi Sugawara de la Universidad de Electrocomunicación de Japón y el Sr. Fu, Daniel Genkin, Sara Rampazzi y Benjamin Cyr de la Universidad de Michigan, también publicaron el lunes sus hallazgos en un documento [PDF].
Genkin también fue uno de los investigadores que el año pasado descubrió dos vulnerabilidades principales de microprocesador, conocidas como Meltdown y Spectre.
ArtÃculos relacionados (por etiqueta)
- Nueva herramienta de Facebook permite a los usuarios transferir sus fotos y vÃdeos a Google
- Mueve tus feeds de FeedBurner heredados a una cuenta de Google
- Nuevo ataque ZombieLoad v2 afecta las últimas CPU de Intel
- Cómo crear un feed RSS a partir de una alerta de Google
- Nuevo error Zero-Day de Chrome atrae ataques activos: ¡actualiza tu navegador ahora!
- Google construye una sala de recuperación para zombies digitales
Lo último de Jesús Cáceres
- Se busca a dos ciberdelincuentes rusos que han robado 100 millones de dólares
- Extensiones de navegador Avast y AVG espian a usuarios de Chrome y Firefox
- Strandhogg: Vulnerabilidad no parcheada de Android explotada activamente en la naturaleza
- Nueva herramienta de Facebook permite a los usuarios transferir sus fotos y vÃdeos a Google
- Mueve tus feeds de FeedBurner heredados a una cuenta de Google
Deja tus comentarios
- Publicar comentario como invitado. RegÃstrate o ingresaa tu cuenta