Investigadores de la Universidad de Texas en San Antonio y la Universidad de Colorado, Colorado Springs, han descubierto un nuevo y alarmante ciberataque que puede apuntar a sus parlantes inteligentes, teléfonos inteligentes, tabletas y más, sin que usted lo sepa.
El ataque consiste en un aviso inaudible que puede ser detectado por la tecnología de reconocimiento de voz para explotar una vulnerabilidad y continuar con la actividad maliciosa, como descargar malware.
Afortunadamente, la vulnerabilidad ha sido resaltada por investigadores (se abre en una pestaña nueva) en lugar de ciberdelincuentes reales, sin embargo, a menos que Big Tech actúe rápidamente, puede soon se extendió en un ciberataque global a gran escala.
Ciberataque de altavoz inteligente inaudible
El ataque, del que hay dos variantes, se ha denominado 'troyano inaudible de ultrasonido cercano' (NUIT) y, como su nombre indica, utiliza ondas cercanas al ultrasonido para realizar un ataque cibernético.
NUIT-1 se basa en un solo dispositivo para transmitir y recibir el comando, mientras que NUIT-2 ve un dispositivo que transmite el mensaje y cualquier otro IoT cercano que lo recibe.
Si bien el oído humano no puede detectar ondas cercanas al ultrasonido, los altavoces inteligentes y los asistentes de voz sí pueden. Como tal, prácticamente no hay riesgo de exposición, lo que dificulta detectar si nuestros dispositivos están siendo atacados.
Los investigadores describen cómo un comando breve e inaudible, que mide 0.77 segundos, se puede incrustar en cualquier cantidad de medios legítimos como videos de YouTube e incluso llamadas de Zoom.
De los 17 dispositivos populares probados por los investigadores, se descubrió que los dispositivos Siri eran los más seguros con medidas de autenticación de voz adicionales para evitar que otras voces accedan a datos confidenciales, como sistemas de seguridad para el hogar inteligente y cerraduras de puertas inteligentes.
Se espera que se revele más información en el USENIX Security Symposium 2023 en agosto, sin embargo, mientras tanto Radar tecnológico profesional se ha comunicado con Apple, Google y Amazon para averiguar qué pueden estar haciendo para remediar la vulnerabilidad.