Los altavoces inteligentes pueden ser hackeados con un láser

Cada vez son más frecuentes las informaciones que alertan acerca de la posibles vulnerabilidades o intromisiones en la intimidad que comportan los dispositivos controlados por voz.

Es indiscutible que manejar todo tipo de aparatos sin necesidad de tocarlos, sólo con decir qué queremos o necesitamos, es una posibilidad muy sugerente. Pero para que eso suceda, es indispensable que todos estos dispositivos estén oyéndonos permanentemente, aunque no estén escuchado.

Es decir, puede que los altavoces inteligentes de Amazon o Google no actúen hasta que decimos las palabras que los activan –‘Alexa’, ‘OK Google’, ‘Oye Siri’, ‘Hey Portal’-, pero sus micrófonos siempre tienen que estar en funcionamiento para poder responder cuando nosotros lo necesitemos. Esto plantea dudas acerca de la posibilidad de que los ‘hackers’ se hagan con el control de esos micrófonos o accedan a las grabaciones de los usuarios.

Pero ahora sabemos que hay algo más acerca de los que preocuparnos, ya que se ha comprobado que se pueden aprovechar los micrófonos de este tipo de dispositivos para ‘secuestrarlos’ mediante la utilización de un láser.

Takeshi Sugarawa, investigador de seguridad cibernética y profesor de la University of Electro-Communication, descubrió la pasada primavera que si apuntaba a su iPad con un láser de alta potencia, el micrófono del aparato convertía la luz del láser en una señal eléctrica, tal y como haría con un sonido.

Sugarawa y varios investigadores de la Universidad de Michigan se pusieron entonces a trabajar y recientemente han publicado un estudio en el que desvelan que es posible utilizar luz láser para inyectar de forma remota comandos inaudibles e invisibles en los asistentes de voz, como el Asistente de Google, Amazon Alexa, Portal de Facebook o Apple Siri. De este modo, pueden interactuar con dispositivos como altavoces inteligentes, tablets y smartphones a grandes distancias –hasta 110 metros – e incluso a través de ventanas.

Los autores del estudio han demostrado que un atacante puede usar estos comandos de voz inyectados con luz para realizar todo tipo de acciones, como desbloquear cerraduras o puertas de garaje inteligentes; localizar, desbloquear y arrancar vehículos; comprar online; o controlar los interruptores inteligentes de una casa.

Los investigadores señalan que algunos dispositivos cuentan con sistemas de autenticación que pueden complicar el ataque, como la necesidad de que el usuario acredite su identidad mediante TouchID o FaceID antes de realizar una compra, como sucede con los aparatos Apple.

Además, la mayoría de los smartphones requieren que la palabra de activación del asistente sea pronunciada por el propietario del teléfono, por lo que el ataque con láser sería más difícil. No obstante, los ciberdelincuentes podrían reconstruir esas palabras para suplantarlo antes de ejecutar sus comandos maliciosos de voz.

Sin embargo, los altavoces inteligentes no cuentan con ningún sistema de autenticación de voz, ya que pueden ser accionados por cualquiera que diga la palabra de activación. Y su software no se puede actualizar para solventar esta vulnerabilidad, dado el carácter físico de la misma.

El estudio propone que sea preciso solicitar un PIN hablado antes de ejecutar los comandos más sensibles. Otra opción sería que los siguientes modelos ajusten su diseño para protegerse de este tipo de ataques, como construir un escudo de luz alrededor del micrófono o escuchar los comandos de voz desde dos micrófonos diferentes en lados opuestos del dispositivo, de manera que sea más difícil incidir simultáneamente en ellos con un láser.