Echamos un vistazo a la investigación de un ataque de IoT llamado NUIT, capaz de secuestrar asistentes de voz a través de un ataque ultrasónico.
Investigadores de la Universidad de Texas han presentado una nueva forma de ataque denominada “troyano inaudible de ultrasonido cercano” (NUIT). NUIT está diseñado para atacar a los asistentes de voz con comandos maliciosos de forma remota a través de Internet.
Los asistentes afectados incluyen a Siri, Alexa, Cortana y Google Assistant.
Este ataque se basamento en pasarse de la suscripción sensibilidad de los micrófonos que se encuentran en estos dispositivos IoT. Son capaces de comprender lo que se describe como el rango de frecuencia “casi ultrasónico” (16kHz – 20kHz), y aquí es donde se esconde NUIT.
Se puede reproducir un clip de sonido NUIT en el altavoz del dispositivo de destino, lo que permite que el asistente de voz sea atacado en el propio dispositivo, o incluso en otro dispositivo.
Hay 2 formas diferentes de propalar este ataque. Uno es donde NUIT está sucediendo en el propio dispositivo de destino. Esto podría ser, por ejemplo, una aplicación no autorizada o un archivo de audio. A continuación puede ver un video donde el ataque NUIT da como resultado una puerta abierta.
La segunda forma de ataque es cuando el primer dispositivo que contiene un altavoz se usa para comunicarse con un segundo dispositivo que contiene un micrófono. Este es el enfoque de estilo de esclavitud de margaritas, donde toda la tecnología ocurrente en todos sus dispositivos regresa lentamente para perseguirlo. Como señalan los investigadores, un televisor inteligente contiene un altavoz y una descarga rápida de YouTube podría ser todo lo que se necesita. Incluso desactivar el silencio de un dispositivo durante una convocatoria de Teleobjetivo podría ser suficiente para destinar la señal de ataque a su teléfono sentado adyacente a la computadora mientras se lleva a parte la reunión.
en términos de ser exitoso a través del ataque NUIT, la ingeniería social juega un papel importante. Los sitios web, las aplicaciones y el audio falsos podrían ser puntos de entrada para las travesuras de los asistentes de voz.
Una vez que se obtiene golpe a un dispositivo, un atacante víctima el tamaño del dispositivo. Esto es para que el propietario del dispositivo no pueda escuchar al asistente respondiendo a los comandos que se le envían. Mientras tanto, el altavoz debe estar por encima de un nivel de ruido específico para que el ataque pueda tener ocasión. Mientras todo esto suceda, la largo del comando mentiroso debe ser inferior a 77 milisegundos o no funcionará.
En términos de impacto flagrante, los investigadores dicen que los dispositivos Siri “necesitan robar la voz del adjudicatario”. Mientras tanto, los otros 16 dispositivos probados se pueden activar mediante el uso de una voz de autómata o, de hecho, cualquier otra voz.
El ataque NUIT aparece como previsto para el próximo Simposio de seguridad de USENIX en agosto, que brindará una descripción completa de cómo funciona. Por ahora, los consejos para posibles defensas contra esta nueva forma de ataque enumerados por los investigadores incluyen los siguientes:
- Usa auriculares. Si el micrófono no puede tomar comandos maliciosos, entonces el compromiso no puede ocurrir.
- La conciencia es esencia. Tenga cuidado con los enlaces, las aplicaciones y los permisos de micrófono.
- Hacer uso de la autenticación de voz. Si está en un dispositivo Apple, ahora es el momento de encenderlo.
Malwarebytes elimina todos los restos de ransomware y evita que se vuelva a infectar. ¿Quiere enterarse más sobre cómo podemos ayudar a proteger su negocio? Obtenga una prueba gratuita a continuación.
PROBAR AHORA
