Un atacante podría enviar comandos a un smartphone para así realizar llamadas, sacar fotos, o leer el contenido de mensajes. La gracia de las ondas ultrasónicas, es que pueden atravesar superficies sólidas, lo que permite a los atacantes realizar un ataque remoto dentro de un radio pequeño. Los investigadores encontraron un vacío de seguridad en […]
Un atacante podría enviar comandos a un smartphone para así realizar llamadas, sacar fotos, o leer el contenido de mensajes.
La gracia de las ondas ultrasónicas, es que pueden atravesar superficies sólidas, lo que permite a los atacantes realizar un ataque remoto dentro de un radio pequeño.
Los investigadores encontraron un vacío de seguridad en los sistemas de reconocimiento de voz de los teléfonos inteligentes debido a que las ondas ultrasónicas (inaudibles para los humanos) pueden activar Siri y el Asistente de Google.
Sumado a esto, con la adición de un hardware barato, un atacante podría iniciar el ataque para espiar la respuesta del teléfono.
Los humanos no pueden oírlo, pero los micrófonos pueden captar ondas de sonido ultrasónicas. Según Zhang, si uno sabe cómo trabajar con señales, puede hacer que el teléfono interprete las ondas de sonido entrantes, suponiendo que se está dando una orden.
El equipo de investigación organizó una serie de experimentos en 17 modelos diferentes de teléfonos, incluidos los modelos iPhone, Galaxy y Motorola.
Para probar la capacidad de las ondas ultrasónicas de transmitir comandos a través de superficies sólidas, los investigadores realizaron un par de experimentos que involucraron un teléfono colocado sobre una mesa.
Luego conectaron un micrófono y un transductor piezoeléctrico (PZT) que convierte la electricidad en ondas ultrasónicas, en la parte inferior de la mesa. Para pasar sus comandos, los investigadores también escondieron un generador de forma de onda debajo de la mesa.
Los investigadores primero le pidieron al asistente virtual que bajara el volumen del teléfono al nivel 3, lo que sería casi inaudible para una víctima en un entorno similar a una oficina.
Luego, el equipo realizó dos pruebas: la primera para recuperar un código de acceso de SMS (texto) y la segunda hacer una llamada falsa.
Para la primera prueba, los investigadores enviaron un comando de “leer mis mensajes” desde un dispositivo de ataque, para leer un mensaje simulado de contraseña del banco enviado al teléfono objetivo.
La respuesta fue audible a un micrófono oculto colocado por los investigadores, pero no a la víctima.
En la segunda prueba, el dispositivo de ataque envió un comando “llamar a Sam con altavoz”. El atacante podría conversar con “Sam” una vez más utilizando el micrófono oculto colocado debajo de la mesa.
Las ondas ultrasónicas atravesaron el metal, el vidrio y la madera durante los experimentos. Los investigadores también probaron diferentes superficies de mesa y configuraciones de teléfono, incluso a distancias de hasta 9 metros. Los ataques de ondas ultrasónicas también funcionaron en mesas de plástico.
Hablando sobre la investigación, Ning Zhang, profesor asistente de ciencias de la computación e ingeniería en la Escuela de Ingeniería McKelvey, dijo: “Siento que no se está prestando suficiente atención a la física de nuestros sistemas informáticos. Esta será una de las claves para comprender los ataques que se propagan entre estos dos mundos “.
·El equipo de expertos sugirió que si pudiéramos diferenciar la señal recibida por teléfono entre las ondas ultrasónicas y las voces humanas genuinas, esta situación puede abordarse.
·La otra forma podría ser cambiar el diseño de los teléfonos móviles, como la ubicación del micrófono, para amortiguar o suprimir las ondas de ultrasonido. Esto podría detener un “ataque de navegación”, según lo acuñado por los investigadores para tales ataques.
Zhang agregó que hay otra manera simple de evitar que un teléfono se dañe con los ataques de ondas ultrasónicas: la defensa basada en capas intermedias. Utiliza un tejido suave y tejido para aumentar el “desajuste de impedancia”. En palabras simples, poner el teléfono sobre un mantel podría ayudar a proteger el dispositivo contra ataques ultrasónicos hasta cierto punto.