El curiós que una sèrie d'investigadors han hacker a Google Home, Siri i Alexa a l'projectar llum de làser en ells no és la notícia en si, que té la seva, sinó que encara no se sap amb certesa perquè aquests assistents responen a la llum com si fos so.
Parlem de que aquests XNUMX assistents són vulnerables als atacs que pateixen mitjançant uns làsers que «injecten» comandaments de llum inaudibles i de vegades invisibles en els dispositius per causar el desbloqueig de portes, visitar llocs web o localitzar fins i tot vehicles.
Assistant, Siri i Alexa hackejats
I és a una distància de 110 metres des de la qual es pot projectar llum làser de baixa freqüència per activar aquests sistemes de veu en què es «s'injecta» comandaments que després executen accions molt variades. Aquests investigadors fins i tot han estat capaços d'enviar aquest tipus d'ordres de llum des d'un edifici a un altre i travessar el vidre per arribar a el dispositiu amb Google Assistant o Siri.
Pel que podem saber, l'atac s'aprofita d'una vulnerabilitat existent en els micròfons i que usa el anomenat com MEMS (Micro-electro-mecànics sistemes). Els components microscòpics MEMS involuntàriament responen a la llum com si fos so.
I mentre que els investigadors han provat aquest tipus d'atac sobre Google Assistant, Siri, Alexa, com fins i tot al portal de Facebook i una sèrie petita de tablets i telèfons, Comencen a creure que tots els dispositius que fan servir micròfons MEMS són susceptibles de poder ser atacats per aquests anomenats com «Ordres de Llum».
Una nova forma d'atac
Aquest tipus d'atacs tenen una sèrie de limitacions. El primer és que l'atacant ha de tenir línia directa de visió amb el dispositiu a què vol atacar. El segon, i és que la llum ha de ser enfocada de manera molt precisa en una part molt específica de l'micròfon. També cal tenir en compte que a menys que l'atacant faci servir un làser infraroig, la llum es veuria de forma fàcil per qualsevol que estigui a prop de el dispositiu.
El trobat per aquesta sèrie d'investigadors té força importància per algunes raons. No solament pel fet de poder atacar a aquesta sèrie de dispositius controlats per veu que en una llar gestionen alguns aparells d'importància, sinó que també mostra com es poden fer els atacs en entorns gairebé reals.
El que crida molt l'atenció és que no s'entén totalment la raó de les «físiques» de les ordres de llum que entren a formar part de l ' «exploit» o vulnerabilitat. De fet, que se sabés realment per què passa, significaria en un major control i dany sobre l'atac.
També crida l'atenció que aquesta sèrie de dispositius controlats per veu no porten amb si algun tipus de requeriment de contrasenya o PIN. És a dir, que si ets capaç de «hackearlos» amb aquest tipus d'emissió per llum, pots controlar tot una llar en què un Google Assistant o Siri controli els llums, el termòstat, tancament de portes i més. Gairebé de pel·lícula.
Atac de baix cost
I ens podríem imaginar que tenir un projector de llum làser pot costar la seva. O que a el menys el cost fos elevat de poder perpetrar un atac d'aquest estil. Per res. Una de les configuracions per als atacs comporta una despesa de 390 dòlars amb l'adquisició d'un punter làser, un conductor làser i un amplificador de so. Si ja ens posem més sibarites, afegim unes lents de telefoto per 199 dòlars i podrem apuntar a distàncies grans.
Us preguntareu qui són els investigadors darrere d'aquesta troballa tan sorprenent i que mostra una forma nova d'atacar una sèrie de dispositius que estem ficant tots a casa nostra. Doncs parlem de Takeshi Sugawara de la Univeritat de Electro-Comunicacions al Japó, I de Sara Rampazzi, Benjamin Cyr, Daniel Genkin i Kevin Fu de la Universitat de Michigan. O sigui, que si en algun moment vau pensar que parlàvem de fantasia, per a res, tota una realitat.
Una nou atac per als dispositius accionats per veu de Google Assistant, Siri i Alexa amb ordres de llum i que portarà cua en els propers anys; un Google Assistant que sintegra amb WhatsApp, així que imagineu una mica que es pot fer amb aquests atacs.
