El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

#1 03-03-2020 00:10:56

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 5,035

Hackeando Siri (Apple) y "OK Google" con ultrasonidos

Hackeando los asistentas vocales de google y apple gracias a los ultrasonidos

giphy.gif

La proliferación de los asistentes vocales conlleve nuevos riesgos
  - Un riesgo relativo a nuestra privacidad: Dejamos a los GAFA (y otros) poner un pie en nuestra "esfera privada"
Con micrófonos activos todo el tiempo, a la espera de "Ok google", "alexa" - o la frase clave que sea -, para ejecutar nuestras ordenes.
Un riesgo muy real: Demostrado: Facebook habilita el micrófono y espía tus conversaciones
  - Un riesgo de seguridad con nuevos vectores de ataques. Uno de lo más interesante siendo el ataque mediante emisión de ultrasonidos.
El reconocimiento vocal es una tarea compleja que deja lugar a muchas posibilidades manipulando frecuencias inaudibles.
Se trata de buscar la canción silenciosa que permite ejecutar ordenes arbitrariamente.
Se conoce también como "ataque del delfín" porque es así que lo bautizo un pionero del generó
 
  El profesor Ning Zhang ha presentado su trabajo sobre inyección de comandos mediante ultrasonidos  hace unos días atrás en el "Network and Distributed System Security Symposium" de San Diego.   
Se trata de un ataque contra Siri (apple) y el asistente vocal de google.
El ataque se hace contra un teléfono puesto en una mesa.  La mesa puede ser de madera, vidrio o metal. Funcionó también con mesas de plástico pero es mas aleatorio.
Se usan las propriedades de la difusión de ultra sonidos sobre superficies planas para engañar el asistente vocal   
Para realizar el ataque el profesor ha colocado sobre unas mesas:
  - por un lado un micrófono acoplado a un sensor piezoeléctrico.
  - por otro lado un generador de ondas

siri_1.jpg

  Lo que ha logrado con su equipo es bastante divertido.
O escalofriante, según lo miramos. big_smile

  El primer reto : Hoy en día todo se hace con "comprobación doble"
A saber se recibe un SMS con un código para validar cualquier operación "critica" en linea, especialmente las compras y operaciones bancarias
  Para ilustrar las posibilidades inéditas ofertas por los ultrasonidos, el profesor y su equipo han elaborado un ataque para pillar el preciado SMS de confirmación de una compra en linea.
    Lo primero que han hecho es mandar una orden para bajar el volumen a tres, esto hace que la victima no va a oír las respuestas de SIRI mientras que el micrófono espía lo entenderá todo perfectamente.   
Gracias a los ultrasonidos emiten algo interpretado como:
  - "OK google, turn volume to 3"
  Luego emiten otros ultrasonidos que se interpretan como
- "Read my messages"
  Siri les responde entonces que tienen un nuevo mensaje y pregunta si quieren oirlo
  Responden con ultrasonidos que se interpretan como
- "Sure"
  Siri escupe entonces el codigo contenido en el SMS sin que la victima se entere.
Aquí podéis ver el guion del ataque:

siri_2.jpg

El segundo reto fue hacer una llamada desde el móvil de la victima 

siri_4.jpg

En ambos casos han tenido excelentes resultados.
De los 17 modelos atacados, el Samsung Galaxy y el Huawei mate son los únicos dispositivos que se han resistido .

siri_3.jpg

Encontrareis todos los detalles en el reporte de el equipo de investigación:

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
7 116 Hoy 20:01:30 por gelete
0 43 Hoy 04:43:01 por Hunter310#
29 18911 Ayer 15:57:23 por Loizman
120 28193 Ayer 12:07:35 por JPJ
0 104 02-04-2020 02:04:49 por Hunter310#

Pie de página

Información del usuario

Ultimo usuario registrado: jcspto
Usuarios registrados conectados: 1
Invitados conectados: 25

Conectados: gelete

Estadisticas de los foros

Número total de usuarios registrados: 1,813
Número total de temas: 1,389
Número total de mensajes: 13,921

Máx. usuarios conectados: 373 el 30-09-2019 15:04:36