Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Un ataque de ultrasonido inaudible permite controlar sigilosamente tu teléfono o altavoz inteligente


Los ciberataques también pueden llegar a través del sonido, pero no es eso lo que debería preocuparte, sino que nunca serás capaz de escucharlos. Una investigación de profesores de Ingeniería Informática de la Universidad de Texas en San Antonio (UTSA) y la Universidad de Colorado (UCCS) han conseguido desarrollar una nueva forma de penetrar en otros dispositivos. Ha sido bautizada como NUIT (siglas en inglés de 'troyano casi inaudible por ultrasonidos') y, en esencia, consiste en reproducir ultrasonidos para dar órdenes a los asistentes de voz de Google, Apple, Amazon o Microsoft. Una vez reciben los comandos a través de sus micrófonos, queda poco que hacer.

 


 

 

  • Investigadores universitarios 🇺🇲 han desarrollado un nuevo ataque llamado "Near-Ultrasound Inaudible Trojan" (NUIT)"

 


Esto se debe a que los micrófonos de los dispositivos pueden captar y responder a las órdenes que les llegan mediante sonidos que se quedan al borde de ser ultrasonidos —en concreto, en la frecuencia que va de los 16 kHz a los 20 kHz—, algo que no consigue el oído humano. Ahora bien, ¿cómo los micrófonos de tu teléfono o altavoz inteligente pueden acabar escuchando ese sonido? Los investigadores explican que estos audios podrían ser colgados en cualquier página web o plataforma, incluyendo YouTube, a modo de anzuelos, para que alguien pique sin darse cuenta de la trampa.  



"Si reproduces YouTube en tu smart TV, esa smart TV tiene un altavoz, ¿verdad? El sonido de los comandos maliciosos NUIT se volverá inaudible, y también puede atacar tu móvil y comunicarse con tus dispositivos Google Assistant o Alexa. Incluso puede tener lugar durante reuniones en Zoom. Si alguien activa su micrófono, pueden colar la señal de ataque para hackear tu teléfono, que está colocado junto a tu ordenador durante la reunión", ha explicado Guenevere Chen, profesora de la UTSA. Ella es coautora del estudio —que se presentará en detalle en el Congreso USENIX Security de este año— junto a una estudiante de doctorado de esta universidad, Qi Xia, y Shouhuai Xu, docente en a UCCS.

Así, han detallado que los ruidos con los que ejecutan los comandos solo tienen una duración de 0,77 segundos, algo que complica aún más su detección. El único inconveniente que tienen es que se necesita cierto volumen para que el ataque sea efectivo. En cambio, si estás pensando que te darás cuenta de que has sido víctima porque escucharás la voz del asistente responder a la petición, te equivocas: los comandos también pueden incluir una orden para silenciar su voz y que, así, la víctima no sea consciente de lo que está ocurriendo. 



 

Por ahora, han probado con 17 dispositivos de distintas marcas y la identificación de voces del usuario —una herramienta para que solo tú o tu familia podáis hablar con un determinado gadget— no consiguió evitar que colaran este mecanismo casi en ningún intento. Solo en el caso de Apple, esta función ha logrado evitar que puedan campar a sus anchas, a no ser que se cree una voz artificial parecida a la del humano, algo mucho más complejo. Sea como sea, es algo que supera lo que habían conseguido en 2017 un grupo de investigadores de la Universidad Zhejiang de China, que desarrollaron modelo similar, pero con una serie de limitaciones que rebajaban su peligrosidad.

Cómo un ultrasonido puede abrir tu puerta

Hervé Lambert, director global de operaciones de Panda Security, hace hincapié en que esta técnica supone "un problema para todo el mundo de la domótica y los sistemas de dispositivos conectados". "Uno de los escenarios más devastadores se puede ver en el caso de ciudades hiperconectadas, donde alguien pueda reproducir música o un vídeo que incluya ultrasonidos para que llegue a los micrófonos de las calles", apunta antes de poner otros ejemplos, como los hoteles que usen sistemas similares. "Es un escenario fantástico para robar a huéspedes. Puedes tener un buen sistema y que luego se abra la puerta con algo así. No es ciencia ficción, sino algo que con tiempo y recursos no es demasiado complejo", avisa.

" Si eres una persona un poco hábil y quieres buscar problemas a una persona o una empresa, puedes hacerlo. Necesitas un modulador de frecuencias y ser capaz de trasladar un comando a un sonido", continúa este especialista, que celebra que este mecanismo se haya conocido a través de una investigación universitaria, en lugar de ser la consecuencia de un ataque (por ahora, no se conocen incursiones de este tipo por parte de ciberdelincuentes). Además del caso señalado en la universidad china, ha sido más reciente el caso de un estudio de investigadores de la Escuela de Seguridad Cibernética de la Universidad de Corea, que dieron con una herramienta con un funcionamiento similar, pero que necesitaba de una instalación previa del malware en el dispositivo que tiene que emitir los ultrasonidos, por lo que también limitaba sus efectos, tal y como contó Bleeping Computer.

Los desarrolladores de NUIT, por su parte, han desarrollado dos tipos de variantes para llevar a cabo los ataques. La primera es cuando el dispositivo que reproduce el ruido —un móvil o un altavoz— se convierte, al mismo tiempo, en la víctima del ataque. Ellos mismos han compartido un vídeo en el que muestran cómo funcionaría para, por ejemplo, abrir la cerradura de una puerta conectada a internet. Lo puedes ver aquí: 

 


La otra consiste en aprovechar el ruido emitido en un ordenador, altavoz o televisor —por poner algunos ejemplos— y así entrar hasta la cocina de cualquier otro dispositivo que cuente con un asistente como Siri o Alexa. De este modo, se puede ver a una persona que reproduce el ultrasonido en su ordenador y, de nuevo, eso basta para que el malware se cuele en su teléfono y sea capaz de abrir esa puerta.  


Sin embargo, son solo ejemplos. Es decir, no es solo que puedan usar los dispositivos domésticos que tengas conectados en casa, sino para ejecutar todo tipo de malware en el objetivo. "Se puede hacer el mal de mil formas, porque puedes crear comandos de todo tipo para que se instale un malware, y eso pasa por el robo de datos, de contraseñas, el bloqueo de dispositivos, los ataques de denegación de servicios...", cuenta Lambert, de Panda Security.

Los autores de la investigación también dan una serie de recomendaciones para los usuarios que no son muy allá, como optar por usar auriculares en lugar de altavoces, pero también apuntan directamente a la industria. "No se trata solo de un problema de software o malware. Es un ataque de hardware que utiliza internet. La vulnerabilidad está en el diseño del micrófono, algo que el fabricante tendría que solucionar", ha explicado también la autora. Ahí cabrían soluciones como la limitación de frecuencias en estos micrófonos. "Todo lo que tiene un extra de configuración tiene un coste extra para ellos. La seguridad debería de ser el centro de atención de los fabricantes, pero no tengo claro que lo sea a día de hoy, salvo en casos de infraestructuras sensibles", lamenta por su parte Lambert.

Fuentes:

https://www.usenix.org/conference/usenixsecurity23/presentation/xiaoqi

https://www.bleepingcomputer.com/news/security/inaudible-ultrasound-attack-can-stealthily-control-your-phone-smart-speaker/

https://www.elconfidencial.com/tecnologia/2023-03-29/hackear-moviles-dispositivos-ultrasonidos-domotica_3601082/


1 comentarios :

Anónimo dijo...

En el móvil no tengo activada la escucha permanente y mis cerraduras tienen pin.
Sois unos asustaviejas!

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.