Los ataques ultrasónicos pueden activar a Alexa y Siri con comandos ocultos, lo que aumenta los graves riesgos de seguridad

En los últimos dos años, los investigadores académicos han identificado varios métodos que pueden transmitir comandos ocultos que son indetectables por el oído humano a Siri de Apple, Alexa de Amazon y al Asistente de Google.

Según un nuevo informe de The New York Times, los investigadores científicos han sido capaces de “activar secretamente los sistemas de inteligencia artificial en teléfonos inteligentes y altavoces inteligentes, haciendo que marquen números de teléfono o abran sitios web”. Esto podría, tal vez, permitir a los ciber-delincuentes desbloquear las puertas de los hogares inteligentes, controlar un coche Tesla a través de la aplicación, acceder a las cuentas bancarias en línea de los usuarios, cargar sitios web maliciosos de minado de criptomonedas basados en navegadores, y/o acceder a todo tipo de información personal.

En 2017, Statista proyectó que alrededor de 223 millones de personas en los EE.UU. estarían usando un dispositivo de teléfono inteligente, que representa aproximadamente el 84% de todos los usuarios móviles. De estos 223 millones de usuarios de teléfonos inteligentes, alrededor de 108 millones de estadounidenses utilizan el sistema operativo Android y unos 90 millones utilizan el iOS (sistema operativo) de Apple. Una nueva encuesta de Gallup mostró que el 22% de los estadounidenses están utilizando activamente Amazon Echo o Google Assitant en sus hogares.

Con gran parte del país utilizando sistemas de inteligencia artificial en teléfonos inteligentes y altavoces inteligentes, un nuevo documento de investigación publicado desde la Universidad de California, Berkeley indica que los comandos inaudibles podrían incrustarse “directamente en grabaciones de música o texto hablado”, dijo The New York Times.

Por ejemplo, alguien podría estar escuchando su canción favorita: ‘The Middle’ de Zedd, Maren Morris & Grey. Incrustado en el archivo de audio podría haber varios comandos inaudibles activando Siri de Apple o Alexa de Amazon para completar una tarea que el usuario no instruyó, como comprar mercancía del intérprete de música en Amazon.

“Queríamos ver si podíamos hacerlo aún más sigiloso”, dijo Nicholas Carlini, estudiante de quinto año de doctorado en seguridad informática en la Universidad de California en Berkeley y uno de los autores del periódico.

Por el momento, Carlini dijo que esto es sólo un experimento académico, ya que es sólo cuestión de tiempo antes de que los ciberdelincuentes descubran esta tecnología. “Mi suposición es que la gente maliciosa ya emplea a gente para hacer lo que yo hago”, agregó.

The New York Times dijo que Amazon “no revela medidas de seguridad específicas” para frustrar un dispositivo de un ataque ultrasónico, pero la compañía ha tomado medidas de precaución para proteger a los usuarios del uso humano no autorizado. Google dijo a The New York Times que el desarrollo de la seguridad está en curso y ha desarrollado características para mitigar los comandos de audio indetectables.

Los asistentes de ambas compañías [Amazon y Google] emplean tecnología de reconocimiento de voz para evitar que los dispositivos actúen con ciertos comandos a menos que reconozcan la voz del usuario.

Apple dijo que su altavoz inteligente, HomePod, está diseñado para evitar que los comandos hagan cosas como abrir puertas, y señaló que los iPhones y iPads deben ser desbloqueados antes de que Siri actúe sobre comandos que accedan a datos confidenciales o abran aplicaciones y sitios web, entre otras medidas.

Sin embargo, muchas personas dejan sus teléfonos inteligentes desbloqueados y, al menos por ahora, los sistemas de reconocimiento de voz son notoriamente fáciles de engañar.

Ya existe una historia de dispositivos inteligentes que han sido explotados para obtener ganancias comerciales a través de comandos hablados”, dijo The New York Times.

El año pasado, hubo varios ejemplos de compañías e incluso dibujos animados que se aprovecharon de las debilidades de los sistemas de reconocimiento de voz, incluyendo el comercial de Google Home de Burger King y el episodio de South Park con Alexa.

Aunque en la actualidad no existen leyes estadounidenses contra la difusión de mensajes subliminales o ultrasónicos a los seres humanos, por no hablar de los sistemas de inteligencia artificial en los teléfonos inteligentes y los altavoces inteligentes. La Comisión Federal de Comunicaciones (FCC) advierte en contra de esta práctica, calificándola de “contraria al interés público”, y el Código de Televisión de la Asociación Nacional de Radiodifusores prohíbe “transmitir mensajes por debajo del umbral de la conciencia normal”. Sin embargo, The New York Times señala que “ninguno dice nada sobre estímulos subliminales para dispositivos inteligentes”.

Recientemente, la tecnología de ataque por ultrasonidos apareció en manos de los chinos. Investigadores de la Universidad de Princeton y de la Universidad de Zhejiang en China llevaron a cabo varios experimentos que demostraron que los comandos inaudibles pueden, de hecho, activar los sistemas de reconocimiento de voz en un iPhone.

“La técnica, que los investigadores chinos llamaron DolphinAttack, puede instruir a los dispositivos inteligentes para que visiten sitios web maliciosos, inicien llamadas telefónicas, tomen fotos o envíen mensajes de texto. Aunque DolphinAttack tiene sus limitaciones -el transmisor debe estar cerca del dispositivo receptor- los expertos advirtieron que eran posibles sistemas ultrasónicos más potentes”, dijo The New York Times.

DolphinAttack podría inyectar comandos de voz encubiertos en 7 sistemas de reconocimiento de voz de última generación (por ejemplo, Siri, Alexa) para activar un sistema siempre activo y lograr varios ataques, que incluyen activar Siri para iniciar una llamada de FaceTime en el iPhone, activar Google Now para cambiar el teléfono al modo de avión, e incluso manipular el sistema de navegación en un automóvil Audi. (Fuente: guoming zhang)

Video de Demostración de DolphinAttack

Mientras que el número de dispositivos inteligentes en los bolsillos de los consumidores y en sus hogares va en aumento, es sólo cuestión de tiempo antes de que la tecnología caiga en las manos equivocadas y se desate contra ellos. Imagínese, criminales cibernéticos accediendo a su Audi o Tesla a través de ataques ultrasónicos contra la tecnología de reconocimiento de voz en un dispositivo inteligente. Tal vez estos llamados dispositivos inteligentes no son inteligentes después de todo, ya que los peligros de estos dispositivos están empezando a hacerse realidad. Los millennials pronto entrarán en pánico.

Fuente: Ultrasonic Attacks Can Trigger Alexa & Siri With Hidden Commands, Raise Serious Security Risks