La vulnerabilidad de MEMS hace posible el secuestro de asistentes de voz, incluidos Alexa, Google Home o Siri

Los asistentes virtuales fueron creados para realizar diversas tareas para hacernos la vida más fácil. A lo largo de los años, han cambiado mucho y, hoy, incluso tenemos asistentes de voz como Alexa y Siri que pueden controlar varios dispositivos inteligentes y realizar diversas tareas después de recibir comandos verbales. Muchos usuarios los usan para escuchar música, consultar el clima o comprar en línea. Por supuesto, para poder realizar estas tareas, un asistente de voz debe tener acceso a las cuentas de sus usuarios y otros dispositivos domésticos inteligentes. Por lo tanto, secuestrarlo podría permitir a los atacantes comprar en nombre de la víctima, encender y apagar sus dispositivos, y así sucesivamente. Desafortunadamente, hallazgos recientes revelaron que los ciberdelincuentes tal vez ni siquiera necesiten usar herramientas maliciosas para hacerlo. Aparentemente, un pirata informático podría hacerse cargo de un asistente inteligente con la ayuda de un puntero láser, un amplificador de audio y algunas otras cosas. Para obtener más información sobre este descubrimiento, lo invitamos a leer nuestra publicación de blog completa.

Si bien algunas personas no pueden imaginar sus vidas sin hogares inteligentes, algunos usuarios evitan tener demasiados dispositivos inteligentes por temor a su seguridad. Eventos como el durante el cual los piratas informáticos atacaron a los propietarios de una cámara Nest o el descubrimiento de una vulnerabilidad en los timbres inteligentes de Amazon , solo prueban que usar tales dispositivos siempre es un riesgo. Sin embargo, tener un dispositivo con un asistente de voz que pueda estar conectado a todos los dispositivos inteligentes en su hogar podría ser aún más peligroso. Hace unos meses, los especialistas en ciberseguridad demostraron que los hackers podían emplear asistentes de voz a través de aplicaciones maliciosas para espiar a sus usuarios . Ahora, parece que los investigadores descubrieron un ataque contra los asistentes de voz que podría permitir que los cibercriminales los secuestraran y hicieran mucho más que escuchar lo que estás diciendo.

¿Cómo podrían los hackers hacerse cargo de asistentes inteligentes?

Según los investigadores de la Universidad de Electro-Communications y la Universidad de Michigan que publicaron un artículo llamado Light Commands: ataques de inyección de audio basados en láser en sistemas controlables por voz , un atacante podría hacer un mal uso de los llamados MEMS (sistemas micro-electromecánicos ) vulnerabilidad para secuestrar dispositivos como Alexa , Portal , Google Assistant y Siri . Parece que los micrófonos en estos dispositivos pueden tener la debilidad mencionada, y puede explotarse empleando cosas como un puntero láser, un amplificador de audio, un cable de audio y un controlador de corriente láser. Al combinar estas cosas, podría ser posible crear una herramienta que permita inyectar un comando grabado en un asistente de voz. En otras palabras, los atacantes podrían comunicarse con asistentes de audio transformando la luz en sonido e inyectando comandos grabados a través del micrófono de un dispositivo específico.

¿Qué necesitan los hackers para llevar a cabo los ataques de inyección de audio basados en láser?

Afortunadamente, para secuestrar un dispositivo y dar los llamados comandos de luz, los piratas informáticos tendrían que ver el dispositivo al que apuntan y estar a una distancia de 110 metros o menos. Además, los investigadores dicen que en algunos casos, los piratas informáticos podrían tener que estar aún más cerca para explotar la vulnerabilidad MEMS. Todo depende del dispositivo objetivo. En cuanto a lo que podrían hacer los atacantes una vez que secuestran su asistente de voz, puede depender de qué tipo de dispositivos inteligentes tiene y qué tipo de cuentas están vinculadas a su asistente de voz. Por ejemplo, si vinculó Alexa a su cuenta de Amazon para que pudiera comprarle cosas, el atacante podría hacer un mal uso de esto para comprar bienes para sí mismo. Lo que puede sonar aún más aterrador es que los atacantes podrían forzar los códigos PIN de sus cerraduras inteligentes o incluso encender su automóvil si está conectado a su altavoz.

¿Cómo proteger su asistente de voz de los ataques de inyección de audio basados en láser?

Los investigadores dicen que la falta de mecanismos de autenticación en los micrófonos es lo que hace posible llevar a cabo ataques exitosos de inyección de audio basados en láser. Por supuesto, los especialistas que descubrieron esto ya han notificado a las empresas que crean sistemas controlables por voz sobre la vulnerabilidad MEMS. Sin embargo, puede llevar tiempo hasta que comprendan completamente el problema y encuentren una manera de proteger sus dispositivos de los ataques mencionados. Por lo tanto, hasta que suceda, es posible que deba evitar que los hackers secuestren su asistente de voz.

Como se mencionó anteriormente, el éxito de tales ataques no se basa en engañar a los usuarios para que revelen información que ayude a obtener acceso a dispositivos específicos o que eliminen aplicaciones maliciosas que podrían otorgarla. Por lo tanto, las precauciones de seguridad habituales, como vigilar aplicaciones sospechosas o no compartir su información confidencial descuidadamente, podrían no ser útiles, en este caso particular. En cambio, es aconsejable mantener su dispositivo alejado de los alféizares o lugares de su hogar que puedan verse a través de las ventanas. Si los atacantes no pueden apuntar sus láseres al micrófono de su dispositivo, su asistente de voz debe estar seguro.

En general, el descubrimiento de ataques de inyección de audio basados en láser nos recuerda que si bien tener un hogar inteligente puede hacer que las cosas sean más cómodas y divertidas, también puede ser peligroso. Sin embargo, no significa que tenga que despedirse de sus dispositivos domésticos inteligentes para estar seguro. En cambio, lo que recomendamos es que aprenda a mejorar la seguridad de su hogar inteligente . Además, siempre debe estar al tanto de las últimas noticias de seguridad cibernética para que sepa cómo proteger sus dispositivos contra las últimas amenazas.

En Foley
February 24, 2020
Computer Security
Spanish
February 24, 2020
Computer Security

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.