Guenevere Chen, professora del Departament d’Enginyeria i Informàtica de la UTSA, ha publicat un article en “USENIX Security 2023” on demostra les vulnerabilitats dels micròfons i assistents de veu.

Les nostres dades personals poden veure’s compromeses fins i tot a l’hora d’utilitzar dispositius aparentment fiables. Això és el que demostra una de les últimes recerques sobre altaveus de la Universitat de Texas de San Antonio (UTSA).

Guenevere Chen, professora associada del Departament d’Enginyeria i Informàtica de la UTSA, ha publicat un article a USENIX Security 2023 que mostrava les vulnerabilitats dels micròfons i assistents de veu com ara Siri, Google Assistant o Alexa.

Les vulnerabilitats dels assistents de veu

El mètode més utilitzat pels hackers per a accedir als dispositius és l’enginyeria social. Els atacants atreuen les persones perquè instal·lin aplicacions o visitin llocs web maliciosos.

No es tracta només d’un problema de programari o malware, sinó que és un atac de maquinari que utilitza Internet. Entre els 17 telèfons intel·ligents amb els quals es van executar les proves, els dispositius Siri d’Apple necessiten prendre la veu de l’usuari, mentre que altres dispositius amb assistent poden activar-se usant qualsevol veu o la d’un robot.

Una vegada que tenen accés no autoritzat a un dispositiu, els hackers poden enviar ordres d’acció per reduir el volum de l’aparell i impedir que l’usuari senti la resposta d’un assistent de veu abans de conducta amb altres atacs. L’altaveu ha d’estar per sobre d’un determinat nivell de soroll per aconseguir èxit en l’atac, mentre que la durada de les ordres malicioses ha de ser inferior a 77 mil·lisegons.

Recerques amb NUIT

Els investigadors d’UTSA van desenvolupar Near-Ultrasound Inaudible Trojan o NUIT, per tal d’estudiar com els pirates utilitzen els altaveus i ataquen als assistents de veu de manera remota a través d’Internet. És així com NUIT pot silenciar la resposta de Siri per aconseguir un atac imperceptible, ja que el volum de la resposta de l’iPhone i dels mitjans es controlen per separat.

Shouhuai Xu, professor d’Informàtica de la Universitat de Colorado Springs (UCCS), va utilitzar NUIT per a atacar diferents tipus de dispositius. Els resultats de les seves proves demostren que NUIT és eficaç per controlar les interfícies de veu de productes tecnològics amb vulnerabilitats.

Com evitar els ciberatacs a micròfons

Amb aquestes vulnerabilitats identificades, Chen i el seu equip ofereixen possibles línies de defensa pels consumidors. Chen recomana als usuaris autenticar els seus assistents de veu i anar amb compte en fer clic en enllaços o concedir permisos al micròfon. També aconsella emprar auriculars en lloc d’altaveus.

L’ús d’auriculars estableix una limitació: el so dels auriculars és massa baix per a transmetre’s al micròfon. Si el micròfon no pot rebre l’ordre maliciosa inaudible, l’assistent de veu subjacent no pot ser activat.