Si utiliza asistentes de voz en sus dispositivos inteligentes o tiene un conjunto de dispositivos en pleno funcionamiento con un micrófono y un altavoz, es probable que pueda estar en peligro de sufrir un nuevo ataque basado en ultrasonido y que ha demostrado sus efectos devastadores.
En concreto, han sido investigadores de la Universidad de Texas y de la Universidad de Colorado quienes han creado una serie de ataques basado en ultrasonido llamado NUIT (Near-Ultrasound Inaudible Trojan).
Estos ataques pueden explotar vulnerabilidades en dispositivos de Internet de las cosas que están equipados con un micrófono y asistentes de vozentre los que se encuentran los más conocidos como Google Assistant o Siri.
Estos ataques basados en ultrasonido son inaudibles para los humanos, pero son detectados por este tipo de dispositivos inteligentes, por lo que no sabrá que se accedió a su dispositivo hasta que vea que las cosas no parecen ir del todo bien.
En su presentación preliminar a The Register, han mostrado este ataque bajo dos modalidades: NUIT-1 y NUIT-2.
Por un lado, NUIT-1 es capaz de enviar señales ultrasónicas a un altavoz inteligente para activar el micrófono y el asistente de voz en el mismo dispositivo; mientras que NUIT-2 aprovechará el altavoz para atacar el micrófono y el asistente en un dispositivo diferente.
Cómo funcionan estos ataques
El ataque NUIT-1 se consideró un ataque silencioso de extremo a extremo y, entre otros, el asistente Siri era completamente vulnerable a él.
Sin embargo, pudieron controlar el iPhone para bajar el volumen del teléfono inteligente al 6%, mientras que una segunda instrucción les permitió usar Siri para abrir la puerta principal de la víctima a través de la aplicación Apple Home.
El ataque NUIT-2 envía señales ultrasónicas integradas a través de una teleconferencia, como una reunión de Zoom, que permitió a los ciberdelincuentes afectar un teléfono cercano de forma remota.
Los dispositivos encontrados vulnerables incluyen múltiples modelos de iPhone, una MacBook Pro 2021, una MacBook Air 2017, teléfonos y tabletas Samsung Galaxy, Amazon Echo 2 de primera generación, Apple Watch 3, Google Pixel 3 y Google Home, entre otros.
Como recomendación, los investigadores aconsejan a los usuarios que eviten comprar dispositivos diseñados con el altavoz y el micrófono juntos. También comentan que el uso de auriculares mitiga este tipo de vulnerabilidades, y además habilitan la autenticación por voz en los dispositivos de asistencia personal.
En cualquier caso, piden a los grandes fabricantes de estos dispositivos que desarrollen herramientas para reconocer o rechazar comandos inaudibles integrados en frecuencias casi ultrasónicas.
