Investigadores universitarios han descubierto una forma de emitir comandos no autorizados a asistentes digitales como Alexa, Google Assistant, Facebook Portal y Siri a través de rayos láser.
Los micrófonos en dispositivos como parlantes inteligentes, teléfonos y tabletas convierten el sonido en señales eléctricas, pero los investigadores descubrieron que los micrófonos también responden a la luz dirigida hacia ellos.
Equipo de investigación: Takeshi Sugawara, Universidad de Electrocomunicación de Tokio, y Benjamin Cyr, Sara Rampazzi, Daniel Genkin y Kevin Fu Universidad de Michigan – lanzó esta semana un Papel describir sus hallazgos en línea.
están comando de luzun sitio web dedicado al proyecto.
Con esta tecnología, se pueden enviar comandos silenciosos de «voz» a asistentes digitales que realizan tareas a través de sus dispositivos, como controlar interruptores domésticos inteligentes, abrir puertas de garaje, realizar compras en línea, desbloquear y encender vehículos motorizados y desbloquear tareas como Cerraduras.
«Probablemente cualquiera pueda hacerlo», dijo Rampazzi, investigador de la UM, a TechNewsWorld. «Requiere algo de equipo y conocimiento, pero no es tan complicado».
El ataque requiere solo un puntero láser simple ($13.99, $16.99 y $17.99 en Amazon), un controlador láser (Wavelength Electronics LD5CHA, $339), un amplificador de sonido (Neoteck NTK059, $27.99 en Amazon) y un teleobjetivo (Opteka 650). -1300 mm, $ 199.95 en Amazon) se usa para enfocar el láser para ataques de largo alcance, según una parte del sitio web Light Commands.
Tabla de Contenidos
amenaza para los consumidores
Kaushal Kafle, un investigador asociado que estudia la seguridad de los hogares inteligentes y las plataformas IoT, señaló que los atacantes pueden encontrar algunos obstáculos prácticos. Departamento de Ciencias de la Computación En William & Mary en Williamsburg, Virginia.
Por ejemplo, debe haber una línea de visión clara desde el láser hasta el objetivo. Además, enfocar directamente en el micrófono se vuelve más difícil a medida que aumenta la distancia desde el objetivo.
Sin embargo, «a pesar de las limitaciones prácticas, dado el impacto de tales ataques, es importante que los usuarios estén al tanto de dichos ataques y coloquen sus altavoces inteligentes en un lugar seguro, no donde sean fácilmente visibles desde el exterior a través de una ventana, como ”, dijo a TechNewsWorld.
El ataque láser descrito por los investigadores podría representar una seria amenaza para cualquier consumidor que sea el objetivo de dicho ataque porque les da rienda suelta a los atacantes sobre el dispositivo.
«Un usuario puede decir cualquier cosa, y podemos usar un láser para ejecutar el mismo comando», dijo Cyr, investigador de la UM, a TechNewsWorld.
«Cualquier cosa que puedas hacer con la voz se convierte en una amenaza», agregó Rampazzi.
Sin embargo, el daño que puede causar un atacante se limita a las preferencias del consumidor.
“Dado que los tres grandes sistemas de asistente de voz están dando un gran impulso a la integración del hogar inteligente, existe claramente el peligro de depender de la configuración del usuario”, dijo Kafle. «En el caso de la casa inteligente, depende del tipo de dispositivo inteligente conectado al asistente de voz del usuario para acceder a través de comandos de voz».
Micrófonos MEMS dirigidos
Si bien los investigadores se centraron en el asistente digital principal, su trabajo podría tener implicaciones más amplias. En sus experimentos, descubrieron que su ataque láser funcionaba mejor en micrófonos MEMS.
La aplicación de la tecnología MEMS (Sistemas Micro-Electro-Mecánicos) a los micrófonos ha llevado al desarrollo de micrófonos pequeños con características de muy alto rendimiento, imprescindibles para dispositivos como teléfonos inteligentes, tabletas y parlantes inteligentes. Los micrófonos MEMS tienen una SNR alta, un bajo consumo de energía y una buena sensibilidad, y se pueden alojar en paquetes muy pequeños.
Rampazzi explicó que la razón por la que los ataques láser funcionan en los micrófonos MEMS es que estos micrófonos tienen una estructura y un diseño diferentes a los micrófonos convencionales.
Los consumidores pueden protegerse de los ataques láser al requerir autenticación para tareas críticas como abrir puertas y arrancar automóviles. Esto se hace limitando la ejecución de estos comandos a un solo sonido.
«No hace que el ataque sea completamente imposible, porque puedes grabar la voz del propietario o usar una voz sintética como esa, porque la personalización de la voz aún no es tan precisa», explicó Rampazzi.
«Integrar la autenticación de usuarios es importante para cualquier sistema de voz, especialmente antes de realizar operaciones financieras o operaciones sensibles a la seguridad», señaló Kafle.
Según el artículo académico de los investigadores sobre los ataques con láser, hacer al usuario una simple pregunta aleatoria antes de ejecutar un comando podría ser una forma efectiva de evitar que un atacante ejecute con éxito un comando.
«Sin embargo, notamos que agregar capas adicionales de interacción a menudo se produce a expensas de la usabilidad, lo que limita la adopción por parte del usuario», escribieron.
El papel de la industria
La industria debe desempeñar su papel en la prevención de ataques con láser a los dispositivos.
«Es importante que los fabricantes y proveedores de dispositivos inteligentes sean conscientes de esta superficie de ataque, no solo para desarrollar soluciones prácticas, sino también para aumentar la conciencia del usuario sobre este tipo de ataques, porque en la mayoría de los casos este ataque se puede evitar mediante la colocación de dispositivos». señaló Kaffler.
El documento de investigación señala que los fabricantes de hardware podrían usar la fusión de sensores para bloquear la inyección de comandos basada en la luz.
Los dispositivos que usan comandos de voz suelen tener varios micrófonos. Dado que el sonido es omnidireccional, múltiples micrófonos detectarán un comando de voz.
En un ataque láser, por otro lado, solo un micrófono capta la señal.
Los fabricantes pueden tener esto en cuenta haciendo que el dispositivo ignore los comandos emitidos a través de un solo micrófono. Sin embargo, los investigadores reconocieron que un atacante que usa un haz ancho para inyectar luz simultáneamente en todos los micrófonos de un dispositivo podría anular la medida.
Los investigadores sugieren que para los dispositivos ricos en sensores, como teléfonos y tabletas, la detección de intrusiones basada en sensores podría frustrar los ataques de inyección de luz porque los comandos de luz parecen muy diferentes a los sensores que los comandos de voz.
«La idea de usar láseres para emitir comandos de voz me pareció interesante pero discreta», dijo Chris Morales, director de análisis de seguridad. Red Vectraun proveedor de soluciones automatizadas de gestión de amenazas con sede en San José, California.
“Creo que es un truco realmente genial y muestra la sensibilidad de la nueva técnica a técnicas en las que nunca habíamos pensado antes, pero realizar esta técnica parece una forma avanzada de lograr un objetivo que podría ser mucho más simple”, dijo a Tech. Noticias Mundo.
“Para el consumidor promedio, no espero muchos robos en el hogar usando láser para abrir puertas”, dijo, “cuando todo lo que tienen que hacer es lanzar una piedra a través de una ventana”.