El malware podría utilizar un sintetizador de voz para suplantar la identidad del usuario y eludir los controles de seguridad
Las funciones de control de voz diseñadas para hacer que los PC y teléfonos inteligentes sean más fáciles de usar, especialmente para personas con discapacidad, también podrían dar a los hackers nuevas formas de eludir las protecciones de seguridad y acceder a los datos almacenados en estos dispositivos.
Estas funciones de accesibilidad se han establecido por una buena razón: permiten controlar lo que sucede en la interfaz gráfica del usuario sin tener que escribir. Pero si no se diseñan cuidadosamente, podría hacerse un mal uso de ellas.
Varios investigadores de Georgia Tech (EEU) descubrieron que podían eludir los protocolos de seguridad mediante el uso de controles de voz para introducir texto o hacer clic en botones. En un artículo sobre el trabajo, los investigadores describen 12 formas de atacar teléfonos con sistemas operativos Android, iOS, Windows o Ubuntu Linux, entre ellos algunos que no requerirían el acceso físico al dispositivo. El artículo será presentado esta semana en la conferencia CCS 2014 en Scottsdale (EEUU).
Un ataque mostraba cómo una pieza de malware podría utilizar el reconocimiento de voz de Windows para llegar a ejecutar comandos que normalmente requieren un mayor nivel de privilegio. Puede verse una demostración en este ordenador portátil.
Otra demostración mostró cómo el malware podría atacar a un smartphone. Aprovecha el hecho de que Google Now, un asistente controlado por voz que viene con el sistema operativo Android, puede utilizar una huella de voz en lugar de un código de acceso escrito. Los investigadores demuestran cómo un atacante podría registrar la frase de autenticación en un teléfono Moto X y después utilizar un programa genérico de conversión de texto a voz para dar otras órdenes como si fuera el usuario. El ataque se muestra aquí.
"Es una llamada de atención importante para los principales proveedores de sistemas operativos: Microsoft, Apple y la comunidad Linux", señala el director del Instituto de Seguridad Nacional en la Universidad Stony Brook (EEUU), Radu Sion.
El científico informático de Georgia Tech que dirigió el estudio, Wenke Lee, señala que los problemas parecen ser resultado de la incorporación del reconocimiento de voz y otras características en los teléfonos en una etapa tardía durante el ciclo de desarrollo.
"Creo que hay problemas fundamentales que son difíciles de corregir", afirma Lee. "Estas características se han añadido después de implementar el sistema operativo, por lo que no tienen los mismos tipos de controles de seguridad".
Los hackers podrían aprovechar las vulnerabilidades de forma remota para iniciar o intensificar un ataque a un dispositivo, explica Lee. Aunque un teléfono que empiece a hablar consigo mismo podría ser algo bastante evidente para el usuario, una aplicación maliciosa podría hacer un seguimiento de los datos de movimiento y esperar hasta que el teléfono no se mueva durante un largo período, lo que indica que el usuario probablemente no está cerca, asegura Lee.