BeTech: noticias de tecnología

DOLPHIN ATTACK

Hackear el móvil a través del asistente virtual, una realidad aterradora

Hackear el móvil a través del asistente virtual, una realidad aterradora

Es posible enviar una orden sonora que el usuario no puede escuchar pero sí el asistente del móvil.

Surgido el pasado fin de semana, el círculo negro de WhatsApp consiste en un mensaje en apariencia inocente y corto que puede bloquear un móvil. ¿Cómo funciona? Porque dentro de un simple emoji que representa un círculo negro se esconden miles y miles de caracteres que la aplicación no puede cargar, colapsando por tanto el sistema operativo del teléfono. Es un caso de cómo camuflar algo en el universo digital, de la misma forma que estas 15 aplicaciones de Android que debéis borrar esconden adware, malware y links fraudulentos invisibles al usuario.

 

Dolphin Attack

Se le llama ‘Dolphin Attack’ o Ataque del Delfín, debido a que los delfines pueden oír frecuencias sonoras que el oído humano es incapaz de detectar. Y básicamente su funcionamiento es el mismo que hay detrás del círculo negro de WhatsApp o las apps cargadas de malware: ocultar algo a los ojos (oídos más bien) del usuario pero que no pasa desapercibido para el dispositivo. Imagina que estás viendo una serie en el portátil o escuchando música, tranquilo/a y ajeno/a al hecho de que en ese momento te están hackeando el móvil, el ordenador, el altavoz Inteligente que usas ¿Cómo? A través de un comando de pirateo camuflado en el audio de lo que estás viendo u oyendo. Un ataque hacker por ondas sonoras dirigido directamente al asistente virtual del dispositivo.

¿Suena a capítulo de Black Mirror? Más bien de Yo, Robot o Homeland, porque la verdad es que se trata de una técnica que hace dos años que los investigadores probaron que era factible y posible, lanzando órdenes sencillas como hacer llamadas de teléfono o abrir páginas webs camuflándolas en pistas de sonido de alta frecuencia como canciones y otras grabaciones, por ejemplo los diálogos de una serie, que son inaudibles para el oído humano pero sí captados por los asistentes virtuales. Pero lo que hace 2 años era más teoría que práctica, en este 2018 se ha vuelto una escalofriante verdad, como este artículo del prestigioso The New York Times revela.

Hackear el móvil a través del asistente de voz

Hoy día, los asistentes virtuales han cobrado mucho auge, desde el Siri de Apple al Alexa de Amazon pasando por el Google Assistant -y tantos otros como el Bixby de Samsung. Se trata de ayudantes digitales cada vez más capaces gracias a los avances en Inteligencia Artificial, pero a la postre pueden convertirse en la herramienta perfecta para que un experto en piratería informática tenga acceso a distintos dispositivos de la forma más simple posible, sin tener que usar complicados programas de hackeo. Porque la clave está en ocultar las órdenes en las pistas de audio.

Los investigadores consultados por el NYT han conseguido esconder comandos dentro de grabaciones musicales y de voces. Comandos que nosotros no escuchamos, pero sí el asistente. Por ejemplo, un clip de música que sólo dura 4 segundos logró que Google Assistant abriese una página web, ya que a simple vista sólo era música, pero el software de reconocimiento de voz logró escuchar la frase ‘Okay Google browse to evil dot com’: la orden inicial para activar el asistente, y la orden secundaria para que abriera la web Evil.com. Estos investigadores obtuvieron el mismo éxito ocultando este comando dentro de la frase ‘Without the dataset the article is useless’

El altavoz inteligente Echo de Amazon, el tipo de dispositivo susceptible al Dolphin Attack

La única pista ahora mismo para detectar que existen órdenes sonoras dentro de una pista de audio es una “ligera distorsión”, pero realmente complicada de captar si uno no sabe qué debe oír. En esta web tenéis los dos ejemplos comentados: El primero es de la frase dicha arriba: el primer reproductor, en el que se aprecia la distorsión, tiene la frase con la orden escondida; el segundo tiene la frase grabada normal. A continuación un ejemplo con una pista musical, el requiem de Verdi en formato normal primero y con la orden escondida en segundo -dadle a Reveal Transcription para verlo más claro.

Qué escenarios plantea esto

Teniendo en cuenta la cantidad de hackeos que sufre el mundo a diario, en el panorama actual de Internet y las Criptomonedas en el que los datos valen más que el oro, alguien con acceso a esta tecnología puede llegar a piratear un hogar entero si este está conectado con diferentes aparatos equipados con asistentes digitales. El caso más suave es que alguien quiera gastar una broma pesada, como el círculo negro de WhatsApp. El más extremo sería que por escuchar una canción o ver algo en YouTube nos hackeasen la cuenta corriente o incluso controlasen partes de un hogar inteligente como el cierre de las puertas, el termostato, etc.

Citadas en el artículo, Apple, Google y Amazon le dijeron al NY Times que la tecnología que usan para sus asistentes dispone de “funciones de seguridad implementadas” para evitar esto, pero ninguna de ellas entró específicamente en detalles. De hecho los altavoces como el HomePod de Apple, el Echo de Amazon o Google Home tienen un botón de silenciar para que sea el propio aparato el que no oiga la frase habitual con la que se activa, limitando el acceso de un hacker que quiera usarlo a distancia. Pero aún así, la realidad inquietante del Dolphin Attack es palpable, ya que si un elemento va a seguir desarrollándose y creciendo en importancia en los móviles y otros aparatos actuales, esos son los asistentes virtuales.