Un error pequeño de diseño permite hackear cualquier asistente de voz

Investigadores chinos han descubierto una vulnerabilidad tan curiosa como preocupante en los asistentes de voz más famosos: Siri, Google Assistant, Alexa… Está basada en lo que se conoce como «Dolphin Attack», que consiste, grosso modo, en convertir comandos de voz en frecuencias ultrasónicas, las cuales son demasiado altas para el oído humano como para que podamos escucharlas (por ejemplo, el típico silbato de perros) pero que sin embargo son perfectamente descifrables por nuestros dispositivos con asistentes de voz instalados. 

Por tanto, sin que nosotros lo escuchemos, sería posible tomar el control de nuestros dispositivos, bastaría con que alguien capturase nuestra voz diciendo «Oye Siri» y que la transformase en una frecuencia ultrasónica para que, sin enterarnos, desbloquease nuestro dispositivo y ejecutase las acciones oportunas. De hecho, se podría incluso enviar órdenes del tipo «Abre la puerta trasera de mi casa» o redirigir cualquier coche que admita comandos de voz a otra nueva localización. Preocupante, ¿verdad?

Para llevar a cabo el hackeo, los investigadores usaron un smartphone, un amplificador, y un pequeño elemento de hardware que puede conseguirse por 3 dólares. La distancia, comprobaron, a la que se puede aprovechar esta vulnerabilidad depende del dispositivo. Por ejemplo, para Alexa tan solo funcionó a unas pulgadas de distancia, no así con el Apple Watch o el iPhone, el cual fue atacado a distancia de varios metros. Esto permitiría, por ejemplo, que en medio de una multitud, una persona malintencionada activase nuestro móvil con «Oye Siri» y lo usase para visitar un sitio que cargase malware en nuestro dispositivo. 

Fuente: Fast Code Design