Hackean altavoces inteligentes a distancia utilizando un puntero láser
Investigadores utilizan un puntero láser convencional para enviar a distancia instrucciones a los asistentes inteligentes de Amazon, Apple o Google
Investigadores de la Universidad de Tokio y de la Universidad de Michigan han demostrado un método para activar a distancia los altavoces inteligentes de Amazon, Apple, Facebook y Google utilizando un puntero láser convencional y aprovechando que los micrófonos microelectromecánicos (MEMS) reaccionan a pulsos de luz dirigidos directamente contra ellos de forma similar a como reaccionan al sonido.
Según detallan los investigadores en Inyección de audio basado en láser en sistemas controlados por voz con este método un atacante situado en el exterior de una vivienda —a través de una ventana, por ejemplo— puede enviar comandos «invisibles e inaudibles» directamente al micrófono de los altavoces inteligentes, smartphones y tablets y activar el asistente digital, logrando que ejecute órdenes como «realizar compras o abrir la puerta del garaje.»
Para «conversar» con los asistentes digitales a distancia los investigadores modularon la intensidad de la luz láser para engañar a los micrófonos y que se comporten como si estuvieran recibiendo ondas de sonido «de verdad.»
Entre los asistentes inteligentes comandados a distancia por los investigadores se encuentran dispositivos Echo y Fire (Amazon Ameza), Portal (Facebook) y Google Home. Además los investigadores fueron capaces de enviar comandos al asistente digital Siri de Apple a través de un iPad y un iPhone, y a Google Assistant a través de móviles Samsung Galaxy S9 y Google Pixel 2.
Según los investigadores, utilizando un teleobjetivo y un puntero láser convencional (incluso con una linterna) los investigadores fueron capaces de enviar estos comandos silenciosos desde 110 metros de distancia. Todo el equipo utilizado por los investigadores se puede adquirir libremente, y su coste total ronda los 300 euros.
Cómo proteger el altavoz inteligente de un ataque láser
Uno de los principales problemas de seguridad que implica este método de hackeo, dicen los investigadores, es que el envío de comandos de luz un atacante puede ganar acceso a la vivienda o a vehículos, ya que puede abrir puertas de garaje y cerraduras inteligentes e incluso abrir y poner en marcha un vehículo, por ejemplo.
Los investigadores avisan de que el método es aplicable a cualquier dispositivo compatible con el control por voz que utilice un micrófono microelectromecánico (MEMS), y que es difícil detectar un ataque de este tipo por la ausencia de sonido: «un usuario atento puede percibir el punto de luz del atacante sobre el dispositivo» y observar las respuestas del asistente virtual que sirven como confirmación del comando.
Como medida adicional —y aunque los investigadores dicen no tener constancia de que hasta ahora se haya utilizado este tipo de ataque— conviene activar cualquier mecanismo de seguridad adicional y confirmación disponible en el dispositivo.
O, más sencillo todavía: los investigadores recomiendan orientar el micrófono del altavoz inteligente hacia algún punto de la vivienda donde no pueda alcanzarse desde el exterior con un láser, o simplemente cubrir parcialmente el micrófono con un poco de cinta adhesiva opaca.