Las ondas ultrasónicas no emiten ningún sonido, pero aún pueden activar Siri en su teléfono celular y hacer que haga llamadas, tome imágenes o lea el contenido de un texto a un extraño. Todo sin el conocimiento del propietario del teléfono.
Los ataques a teléfonos celulares no son nuevos, y los investigadores han demostrado previamente que las ondas ultrasónicas se pueden usar para entregar un solo comando a través del aire.
Sin embargo, una nueva investigación de la Universidad de Washington en St. Louis amplía el alcance de la vulnerabilidad que las ondas ultrasónicas representan para la seguridad de los teléfonos celulares. Estas ondas, según los investigadores, pueden propagarse a través de muchas superficies sólidas para activar los sistemas de reconocimiento de voz y, con la adiciónde algún hardware barato: la persona que inicia el ataque también puede escuchar la respuesta del teléfono.
Los resultados se presentaron el 24 de febrero en el Simposio de seguridad de redes y sistemas distribuidos en San Diego.
"Queremos crear conciencia sobre tal amenaza", dijo Ning Zhang, profesor asistente de ciencias de la computación e ingeniería en la Escuela de Ingeniería McKelvey. "Quiero que todos en el público sepan esto".
Zhang y sus coautores pudieron enviar comandos de "voz" a los teléfonos celulares mientras se sentaban discretamente en una mesa, al lado del propietario. Con la adición de un micrófono colocado sigilosamente, los investigadores pudieron comunicarse de un lado a otro conel teléfono, finalmente controlándolo desde lejos
Las ondas ultrasónicas son ondas de sonido en una frecuencia que es más alta de lo que los humanos pueden escuchar. Sin embargo, los micrófonos de los teléfonos celulares pueden y registran estas frecuencias más altas ". Si sabe cómo jugar con las señales, puede obtener el teléfono de tal manera que cuandointerpreta las ondas de sonido entrantes, pensará que estás diciendo un comando ", dijo Zhang.
Para probar la capacidad de las ondas ultrasónicas de transmitir estos "comandos" a través de superficies sólidas, el equipo de investigación organizó una serie de experimentos que incluyeron un teléfono sobre una mesa.
En la parte inferior de la mesa había un micrófono y un transductor piezoeléctrico PZT, que se utiliza para convertir la electricidad en ondas ultrasónicas. En el otro lado de la mesa del teléfono, aparentemente oculto para el usuario del teléfono, hay ungenerador de forma de onda para generar las señales correctas.
El equipo realizó dos pruebas, una para recuperar un código de acceso de SMS texto y otra para hacer una llamada fraudulenta. La primera prueba se basó en el comando de asistente virtual común "leer mis mensajes" y en el uso de la autenticación de dos factores,en el que se envía una contraseña al teléfono de un usuario, desde un banco, por ejemplo, para verificar la identidad del usuario.
El atacante primero le dijo al asistente virtual que bajara el volumen al Nivel 3. En este volumen, la víctima no notó las respuestas de su teléfono en una oficina con un nivel de ruido moderado.
Luego, cuando llegó un mensaje simulado de un banco, el dispositivo de ataque envió el comando "leer mis mensajes" al teléfono. La respuesta fue audible al micrófono debajo de la mesa, pero no a la víctima.
En la segunda prueba, el dispositivo de ataque envió el mensaje "llame a Sam con el altavoz", iniciando una llamada. Usando el micrófono debajo de la mesa, el atacante pudo mantener una conversación con "Sam".
El equipo probó 17 modelos de teléfonos diferentes, incluidos los populares iPhones, Galaxy y Moto. Todos menos dos eran vulnerables a los ataques de ondas ultrasónicas.
Las ondas ultrasónicas llegaron a través de metal, vidrio y madera
También probaron diferentes superficies de mesa y configuraciones de teléfono.
"Lo hicimos en metal. Lo hicimos en vidrio. Lo hicimos en madera", dijo Zhang. Intentaron colocar el teléfono en diferentes posiciones, cambiando la orientación del micrófono. Colocaron objetos sobre la mesa en un intentopara amortiguar la fuerza de las olas. "Todavía funcionaba", dijo. Incluso a distancias de hasta 30 pies.
Los ataques de ondas ultrasónicas también funcionaron en mesas de plástico, pero no de manera tan confiable.
Las fundas de los teléfonos solo afectaron ligeramente las tasas de éxito del ataque. Colocar agua sobre la mesa, potencialmente para absorber las olas, no tuvo ningún efecto. Además, una onda de ataque podría afectar simultáneamente a más de un teléfono.
El equipo de investigación también incluyó investigadores de la Universidad Estatal de Michigan, la Universidad de Nebraska-Lincoln y la Academia de Ciencias de China.
Zhang dijo que el éxito del "ataque de navegación", como se lo llama en el documento, resalta el vínculo menos discutido entre lo cibernético y lo físico. A menudo, los medios informan sobre las formas en que nuestros dispositivos están afectando el mundovivir en: ¿Están nuestros teléfonos celulares arruinando nuestra vista? ¿Los auriculares o audífonos dañan nuestros oídos? ¿A quién culpar si un auto sin conductor causa un accidente?
"Siento que no se está prestando suficiente atención a la física de nuestros sistemas informáticos", dijo. "Esta será una de las claves para comprender los ataques que se propagan entre estos dos mundos".
El equipo sugirió algunos mecanismos de defensa que podrían proteger contra tal ataque. Una idea sería el desarrollo de software telefónico que analice la señal recibida para discriminar entre ondas ultrasónicas y voces humanas genuinas, dijo Zhang. Cambiando el diseño de los teléfonos móviles,como la colocación del micrófono, para amortiguar o suprimir las ondas de ultrasonido también podría detener un ataque de navegación.
Pero Zhang dijo que hay una manera simple de mantener un teléfono fuera del alcance de las ondas ultrasónicas: la defensa basada en la capa intermedia, que utiliza un tejido suave y tejido para aumentar el "desajuste de impedancia".
En otras palabras, coloque el teléfono sobre un mantel.
Fuente de la historia :
Materiales proporcionado por Universidad de Washington en St. Louis . Original escrito por Brandie Jefferson. Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :