Hackear el m��vil a trav��s del asistente virtual, una realidad aterradora

Es posible enviar una orden sonora que el usuario no puede escuchar pero s�� el asistente del m��vil.

Actualizado a 11 de mayo de 2018 13:35 CEST

Surgido el pasado fin de semana, el c��rculo negro de WhatsApp consiste en un mensaje en apariencia inocente y corto que puede bloquear un m��vil. ?C��mo funciona? Porque dentro de un simple emoji que representa un c��rculo negro se esconden miles y miles de caracteres que la aplicaci��n no puede cargar, colapsando por tanto el sistema operativo del tel��fono. Es un caso de c��mo camuflar algo en el universo digital, de la misma forma que estas 15 aplicaciones de Android que deb��is borrar esconden adware, malware y links fraudulentos invisibles al usuario.

Dolphin Attack

Se le llama ��Dolphin Attack�� o Ataque del Delf��n, debido a que los delfines pueden o��r frecuencias sonoras que el o��do humano es incapaz de detectar. Y b��sicamente su funcionamiento es el mismo que hay detr��s del c��rculo negro de WhatsApp o las apps cargadas de malware: ocultar algo a los ojos (o��dos m��s bien) del usuario pero que no pasa desapercibido para el dispositivo. Imagina que est��s viendo una serie en el port��til o escuchando m��sica, tranquilo/a y ajeno/a al hecho de que en ese momento te est��n hackeando el m��vil, el ordenador, el altavoz Inteligente que usas ?C��mo? A trav��s de un comando de pirateo camuflado en el audio de lo que est��s viendo u oyendo. Un ataque hacker por ondas sonoras dirigido directamente al asistente virtual del dispositivo.

?Suena a cap��tulo de Black Mirror? M��s bien de Yo, Robot o Homeland, porque la verdad es que se trata de una t��cnica que hace dos a?os que los investigadores probaron que era factible y posible, lanzando ��rdenes sencillas como hacer llamadas de tel��fono o abrir p��ginas webs camufl��ndolas en pistas de sonido de alta frecuencia como canciones y otras grabaciones, por ejemplo los di��logos de una serie, que son inaudibles para el o��do humano pero s�� captados por los asistentes virtuales. Pero lo que hace 2 a?os era m��s teor��a que pr��ctica, en este 2018 se ha vuelto una escalofriante verdad, como este art��culo del prestigioso The New York Times revela.

Hackear el m��vil a trav��s del asistente de voz

Hoy d��a, los asistentes virtuales han cobrado mucho auge, desde el Siri de Apple al Alexa de Amazon pasando por el Google Assistant -y tantos otros como el Bixby de Samsung. Se trata de ayudantes digitales cada vez m��s capaces gracias a los avances en Inteligencia Artificial, pero a la postre pueden convertirse en la herramienta perfecta para que un experto en pirater��a inform��tica tenga acceso a distintos dispositivos de la forma m��s simple posible, sin tener que usar complicados programas de hackeo. Porque la clave est�� en ocultar las ��rdenes en las pistas de audio.

Los investigadores consultados por el NYT han conseguido esconder comandos dentro de grabaciones musicales y de voces. Comandos que nosotros no escuchamos, pero s�� el asistente. Por ejemplo, un clip de m��sica que s��lo dura 4 segundos logr�� que Google Assistant abriese una p��gina web, ya que a simple vista s��lo era m��sica, pero el software de reconocimiento de voz logr�� escuchar la frase ��Okay Google browse to evil dot com��: la orden inicial para activar el asistente, y la orden secundaria para que abriera la web Evil.com. Estos investigadores obtuvieron el mismo ��xito ocultando este comando dentro de la frase ��Without the dataset the article is useless��

El altavoz inteligente Echo de Amazon, el tipo de dispositivo susceptible al Dolphin AttackAP

La ��nica pista ahora mismo para detectar que existen ��rdenes sonoras dentro de una pista de audio es una ��ligera distorsi��n��, pero realmente complicada de captar si uno no sabe qu�� debe o��r. En esta web ten��is los dos ejemplos comentados: El primero es de la frase dicha arriba: el primer reproductor, en el que se aprecia la distorsi��n, tiene la frase con la orden escondida; el segundo tiene la frase grabada normal. A continuaci��n un ejemplo con una pista musical, el requiem de Verdi en formato normal primero y con la orden escondida en segundo -dadle a Reveal Transcription para verlo m��s claro.

Qu�� escenarios plantea esto

Teniendo en cuenta la cantidad de hackeos que sufre el mundo a diario, en el panorama actual de Internet y las Criptomonedas en el que los datos valen m��s que el oro, alguien con acceso a esta tecnolog��a puede llegar a piratear un hogar entero si este est�� conectado con diferentes aparatos equipados con asistentes digitales. El caso m��s suave es que alguien quiera gastar una broma pesada, como el c��rculo negro de WhatsApp. El m��s extremo ser��a que por escuchar una canci��n o ver algo en YouTube nos hackeasen la cuenta corriente o incluso controlasen partes de un hogar inteligente como el cierre de las puertas, el termostato, etc.

Citadas en el art��culo, Apple, Google y Amazon le dijeron al NY Times que la tecnolog��a que usan para sus asistentes dispone de ��funciones de seguridad implementadas�� para evitar esto, pero ninguna de ellas entr�� espec��ficamente en detalles. De hecho los altavoces como el HomePod de Apple, el Echo de Amazon o Google Home tienen un bot��n de silenciar para que sea el propio aparato el que no oiga la frase habitual con la que se activa, limitando el acceso de un hacker que quiera usarlo a distancia. Pero a��n as��, la realidad inquietante del Dolphin Attack es palpable, ya que si un elemento va a seguir desarroll��ndose y creciendo en importancia en los m��viles y otros aparatos actuales, esos son los asistentes virtuales.