Hoy os traemos una investigación y estudio de esos que llaman la atención. El uso de las interfaces de voz es cada vez más usual, y es el método principal de entrada para muchos dispositivos. En la investigación denominada Hidden Voice Commands se puede entender cómo atacar distintos dispositivos a través de los comandos de voz ocultos que son ininteligibles para los seres humanos, es decir, se interpretan como comandos de dispositivos. En el estudio se evalúan estos ataques bajo dos modelos de amenazas diferentes.
Este trabajo no es del todo nuevo, ya que el año pasado hablamos de la conferencia en Hack In The Box donde por medio de señales de Radio Frecuencia se ha controlaba remotamente un terminal a través de Siri. Aquí el vídeo:
Figura 1: Tu no me oyes pero tu iPhone sí
En el modelo de caja negra, un atacante utiliza el sistema de reconocimiento de voz como ente opaco. En el modelo de caja blanca, el atacante tiene pleno conocimiento de la estructura interna el sistema de reconocimiento de voz y lo utiliza para crear comandos de ataque. En el estudio se demuestra, a través de varias pruebas de usuario no comprensibles por los usuarios, como se puede lograr la ejecución de comandos en el terminal expuesto. Además, en el estudio se evalúan varias defensas, incluyendo la notificación al usuario cuando se acepta un comando de voz.
Se probaron comandos contro dos teléfonos inteligentes, un Samsung Galaxy S4 con un Android 4.4.2 y un iPhone 6 con iOS 9.1 con Google Now 9.0.60246. En ausencia de ruido ambiente, se midió la inensidad media de los comandos de voz y era aproximadamente de 88dB. A continuación se puede ver en un video de demostración del ataque.
Figura 3: Demo de ataque
Como se puede ver en el video es un interesante artículo, el cual podría, incluso, permitirnos instalar aplicaciones de forma remota a través de los comandos de voz. Seguro que le encuentras un uso malicioso a todo esto, pero como se ve las posibilidades son infinitas.
No hay comentarios:
Publicar un comentario