Hackear el m¨®vil a trav¨¦s del asistente virtual, una realidad aterradora

Surgido el pasado fin de semana, el c¨ªrculo negro de WhatsApp consiste en un mensaje en apariencia inocente y corto que puede bloquear un m¨®vil. ?C¨®mo funciona? Porque dentro de un simple emoji que representa un c¨ªrculo negro se esconden miles y miles de caracteres que la aplicaci¨®n no puede cargar, colapsando por tanto el sistema operativo del tel¨¦fono. Es un caso de c¨®mo camuflar algo en el universo digital, de la misma forma que estas 15 aplicaciones de Android que deb¨¦is borrar esconden adware, malware y links fraudulentos invisibles al usuario.

Dolphin Attack

Se le llama ¡®Dolphin Attack¡¯ o Ataque del Delf¨ªn, debido a que los delfines pueden o¨ªr frecuencias sonoras que el o¨ªdo humano es incapaz de detectar. Y b¨¢sicamente su funcionamiento es el mismo que hay detr¨¢s del c¨ªrculo negro de WhatsApp o las apps cargadas de malware: ocultar algo a los ojos (o¨ªdos m¨¢s bien) del usuario pero que no pasa desapercibido para el dispositivo. Imagina que est¨¢s viendo una serie en el port¨¢til o escuchando m¨²sica, tranquilo/a y ajeno/a al hecho de que en ese momento te est¨¢n hackeando el m¨®vil, el ordenador, el altavoz Inteligente que usas ?C¨®mo? A trav¨¦s de un comando de pirateo camuflado en el audio de lo que est¨¢s viendo u oyendo. Un ataque hacker por ondas sonoras dirigido directamente al asistente virtual del dispositivo.

?Suena a cap¨ªtulo de Black Mirror? M¨¢s bien de Yo, Robot o Homeland, porque la verdad es que se trata de una t¨¦cnica que hace dos a?os que los investigadores probaron que era factible y posible, lanzando ¨®rdenes sencillas como hacer llamadas de tel¨¦fono o abrir p¨¢ginas webs camufl¨¢ndolas en pistas de sonido de alta frecuencia como canciones y otras grabaciones, por ejemplo los di¨¢logos de una serie, que son inaudibles para el o¨ªdo humano pero s¨ª captados por los asistentes virtuales. Pero lo que hace 2 a?os era m¨¢s teor¨ªa que pr¨¢ctica, en este 2018 se ha vuelto una escalofriante verdad, como este art¨ªculo del prestigioso The New York Times revela.

Hackear el m¨®vil a trav¨¦s del asistente de voz

Hoy d¨ªa, los asistentes virtuales han cobrado mucho auge, desde el Siri de Apple al Alexa de Amazon pasando por el Google Assistant -y tantos otros como el Bixby de Samsung. Se trata de ayudantes digitales cada vez m¨¢s capaces gracias a los avances en Inteligencia Artificial, pero a la postre pueden convertirse en la herramienta perfecta para que un experto en pirater¨ªa inform¨¢tica tenga acceso a distintos dispositivos de la forma m¨¢s simple posible, sin tener que usar complicados programas de hackeo. Porque la clave est¨¢ en ocultar las ¨®rdenes en las pistas de audio.

Los investigadores consultados por el NYT han conseguido esconder comandos dentro de grabaciones musicales y de voces. Comandos que nosotros no escuchamos, pero s¨ª el asistente. Por ejemplo, un clip de m¨²sica que s¨®lo dura 4 segundos logr¨® que Google Assistant abriese una p¨¢gina web, ya que a simple vista s¨®lo era m¨²sica, pero el software de reconocimiento de voz logr¨® escuchar la frase ¡®Okay Google browse to evil dot com¡¯: la orden inicial para activar el asistente, y la orden secundaria para que abriera la web Evil.com. Estos investigadores obtuvieron el mismo ¨¦xito ocultando este comando dentro de la frase ¡®Without the dataset the article is useless¡¯

Ampliar

La ¨²nica pista ahora mismo para detectar que existen ¨®rdenes sonoras dentro de una pista de audio es una ¡°ligera distorsi¨®n¡±, pero realmente complicada de captar si uno no sabe qu¨¦ debe o¨ªr. En esta web ten¨¦is los dos ejemplos comentados: El primero es de la frase dicha arriba: el primer reproductor, en el que se aprecia la distorsi¨®n, tiene la frase con la orden escondida; el segundo tiene la frase grabada normal. A continuaci¨®n un ejemplo con una pista musical, el requiem de Verdi en formato normal primero y con la orden escondida en segundo -dadle a Reveal Transcription para verlo m¨¢s claro.

Qu¨¦ escenarios plantea esto

Teniendo en cuenta la cantidad de hackeos que sufre el mundo a diario, en el panorama actual de Internet y las Criptomonedas en el que los datos valen m¨¢s que el oro, alguien con acceso a esta tecnolog¨ªa puede llegar a piratear un hogar entero si este est¨¢ conectado con diferentes aparatos equipados con asistentes digitales. El caso m¨¢s suave es que alguien quiera gastar una broma pesada, como el c¨ªrculo negro de WhatsApp. El m¨¢s extremo ser¨ªa que por escuchar una canci¨®n o ver algo en YouTube nos hackeasen la cuenta corriente o incluso controlasen partes de un hogar inteligente como el cierre de las puertas, el termostato, etc.

Ampliar

Citadas en el art¨ªculo, Apple, Google y Amazon le dijeron al NY Times que la tecnolog¨ªa que usan para sus asistentes dispone de ¡°funciones de seguridad implementadas¡± para evitar esto, pero ninguna de ellas entr¨® espec¨ªficamente en detalles. De hecho los altavoces como el HomePod de Apple, el Echo de Amazon o Google Home tienen un bot¨®n de silenciar para que sea el propio aparato el que no oiga la frase habitual con la que se activa, limitando el acceso de un hacker que quiera usarlo a distancia. Pero a¨²n as¨ª, la realidad inquietante del Dolphin Attack es palpable, ya que si un elemento va a seguir desarroll¨¢ndose y creciendo en importancia en los m¨®viles y otros aparatos actuales, esos son los asistentes virtuales.