HACKEAR MÓVILES MEDIANTE COMANDOS DE VOZ OCULTOS EN VIDEOS DE YOUTUBE

Piratería informática móvil a través de comandos de voz ocultos incrustados en los vídeos de YouTube

Un grupo de investigadores de la Universidad de California, Berkeley, y la Universidad de Georgetown ha ideado un método para hackear dispositivos móviles mediante el uso de comandos de voz ocultas integradas en los vídeos de YouTube.

Con el fin de cortar el dispositivo móvil, la víctima sólo tiene que ver un vídeo de YouTube específico hecho a mano que contiene comandos ocultos. La víctima puede ver el vídeo de múltiples fuentes cercanas, como un ordenador portátil, un ordenador, una televisión inteligente, un teléfono inteligente o una tableta.

Los comandos ocultos son recibidas por Google o Siri asistente personal que les filtro de ruidos y sonidos y ejecutarlos.

Los investigadores publicaron los detalles de la técnica para la piratería dispositivos móviles en un artículo titulado "Hidden comandos de voz."

"Exploramos en este documento cómo pueden ser atacados con comandos de voz ocultos que son ininteligibles para los oyentes humanos, sino que se interpretan como comandos de dispositivos. Evaluamos estos ataques bajo dos modelos de amenazas diferentes. "Los Estados de la introducción del proyecto . "En el modelo de cuadro negro, un atacante utiliza el sistema de reconocimiento de voz como un oráculo opaco. Se demuestra que el adversario puede producir comandos difíciles de entender que son eficaces contra los sistemas existentes en el modelo de cuadro negro. Bajo el modelo de caja blanca, el atacante tiene pleno conocimiento de la estructura interna del sistema de reconocimiento de voz y la utiliza para crear comandos de ataque que demostramos a través de pruebas de usuario no son comprensibles por los seres humanos.

A continuación, evaluamos varias defensas, incluyendo notificar al usuario cuando se acepta un comando de voz; un protocolo de desafío-respuesta verbal y una máquina de enfoque que puede detectar los ataques con 99,8% de precisión de aprendizaje ".

Un ataque similar ya fue ideado por la agencia de inteligencia francesa ANSSI en octubre de 2015, cuando un equipo de expertos descubrió que un hacker puede controlar completamente los dispositivos móviles desde una distancia de 16 pies de distancia.

Los hackers pueden cortar de forma remota un teléfono inteligente mediante la transmisión de comandos en silencio de radio para los sistemas de control de voz implementados por tanto Apple como Google, Siri de Apple y Google Android ahora.

El truco estaba trabajando sólo si el dispositivo de destino tiene los auriculares conectados a su conector, bajo estas condiciones, el ataque funciona sin siquiera decir una palabra.

"La posibilidad de inducir señales parásitas en el front-end audio de los dispositivos de comando de voz con capacidad podría aumentar los efectos críticos de seguridad," los dos investigadores franceses, José Lopes Esteves y Chaouki Kasmi , explican en un artículo publicado por el IEEE .

El truco utilizado:

  • Un dispositivo móvil, un teléfono iPhone o Android, que tiene necesidad de auriculares conectados a la toma.
  • Un transmisor de radio.

Volviendo a la actualidad, los investigadores han publicado un vídeo PoC del ataque cuadro negro que se lleva a cabo en presencia de ruido de fondo con el teléfono de destino se mantiene a una distancia de 10,1 pies de distancia de los altavoces utilizados para reproducir el audio ataque.

Los atacantes pueden ocultar varios tipos de comandos en los videos, incluyendo las instrucciones para descargar e instalar un código malicioso desde un host determinado.

Los investigadores también sugieren una serie de contramedidas, incluyendo una notificación cada vez que un comando de voz es recibida por el móvil o la adopción de un sistema de pregunta-respuesta verbal.

Fecha actualización el 2021-7-10. Fecha publicación el 2016-7-10. Fuente: securityaffairs. Categoría: Hackers. Autor: Oscar olg Versión Movil
BMW vulnerabilidades de día cero