Menú principal

miércoles, 13 de julio de 2016

Hidden Voice Commands: Ejecutando comandos de forma remota #Hacking #iPhone #Siri #Apple

Hoy os traemos una investigación y estudio de esos que llaman la atención. El uso de las interfaces de voz es cada vez más usual, y es el método principal de entrada para muchos dispositivos. En la investigación denominada Hidden Voice Commands se puede entender cómo atacar distintos dispositivos a través de los comandos de voz ocultos que son ininteligibles para los seres humanos, es decir, se interpretan como comandos de dispositivos. En el estudio se evalúan estos ataques bajo dos modelos de amenazas diferentes.

Este trabajo no es del todo nuevo, ya que el año pasado hablamos de la conferencia en Hack In The Box donde por medio de señales de Radio Frecuencia se ha controlaba remotamente un terminal a través de Siri. Aquí el vídeo:


Figura 1: Tu no me oyes pero tu iPhone sí
En el modelo de caja negra, un atacante utiliza el sistema de reconocimiento de voz como ente opaco. En el modelo de caja blanca, el atacante tiene pleno conocimiento de la estructura interna el sistema de reconocimiento de voz y lo utiliza para crear comandos de ataque. En el estudio se demuestra, a través de varias pruebas de usuario no comprensibles por los usuarios, como se puede lograr la ejecución de comandos en el terminal expuesto. Además, en el estudio se evalúan varias defensas, incluyendo la notificación al usuario cuando se acepta un comando de voz.

Figura 2: Hidden Voice Commands

Se probaron comandos contro dos teléfonos inteligentes, un Samsung Galaxy S4 con un Android 4.4.2 y un iPhone 6 con iOS 9.1 con Google Now 9.0.60246. En ausencia de ruido ambiente, se midió la inensidad media de los comandos de voz y era aproximadamente de 88dB. A continuación se puede ver en un video de demostración del ataque.

 
Figura 3: Demo de ataque

Como se puede ver en el video es un interesante artículo, el cual podría, incluso, permitirnos instalar aplicaciones de forma remota a través de los comandos de voz. Seguro que le encuentras un uso malicioso a todo esto, pero como se ve las posibilidades son infinitas. 

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares