Los smartphones son dispositivos en riesgo, pocas dudas quedan de eso hoy. Lo mejor a lo que puede aspirar el usuario promedio es a tener mucho cuidado con lo que descarga, y limitar sus actividades a entornos oficiales, pero ahora, un nuevo estudio publicado por la Universidad de Georgetown explora la posibilidad de un ataque remoto a través de comandos directos para asistentes como Google Now, Siri, y Cortana. Lo más llamativo es que estos comandos son transmitidos por una voz distorsionada y casi demoníaca, que en teoría podría ser ocultada dentro de un vídeo de YouTube u otra fuente de audio.
Los avances en reconocimiento de voz han sido extraordinarios, y cambiaron por completo la forma en la que utilizamos nuestros dispositivos móviles hoy, pero a medida que los asistentes extienden su alcance e incorporan más comandos, también aumenta la probabilidad de encontrar una vulnerabilidad. A menos que el usuario posea un dispositivo como el Moto X, lo lógico es que invoque de forma manual al asistente y luego le hable, pero ahí está la clave: Si el asistente se encuentra en primer plano y listo a recibir comandos, cualquiera le podría hablar, incluso un vídeo en YouTube especialmente preparado para distribuir malware.
Si bien estamos ante una condición muy especial de funcionamiento, el grupo de investigadores de la Universidad de Georgetown y la Universidad de California (Berkeley) que preparó este estudio destaca el potencial de los vídeos virales. Si por cada un millón de reproducciones hay diez mil usuarios que dejaron al smartphone cerca de los altavoces y la mitad interpreta correctamente la orden de abrir un URL cargado de malware, sería posible hablar de cinco mil dispositivos infectados. Estos comandos ocultos son transmitidos con una voz muy distorsionada y con cierto perfil demoníaco que incluso puede lograr su objetivo en entornos con ruido de fondo.
El estudio tiene una página oficial (enlace más abajo) donde se publicaron varias demos «white-box» y «black-box» para que todos los interesados hagan la prueba con sus smartphones. Insisto en que no se trata de una solución exacta, y calculo que el smartphone fallará en reconocer los comandos la mayoría de las veces, sin embargo, sabemos bien que el malware sólo necesita tener suerte una vez.
4 Comments
Leave a Reply