Esta nueva técnica de ataque se basa en utilizar los asistentes de voz de Google Now y Siri para tomar el control de dispositivos Android y iOS que se encuentren a menos de 5 metros del atacante.
Para llevar a cabo estos ataques lo único que se necesita es una
emisora de radio y que el móvil de la víctima tenga unos cascos- manos libres
conectados. El atacante utiliza la emisora de radio para conectar con Siri o
Google Now mediante una serie de comandos de voz con los que tomar el control
del asistente de voz.
Esto se permite debido a que en la mayoría de los dispositivos los
propios cascos actúan como antena de radio, lo que permitirá engañar al
dispositivo haciéndole pensar que dichos comandos de voz los está pronunciando
el propio dueño a través de su micrófono, no un atacante a 5 metros de él.
Una vez consiguen conectar con el asistente de voz los atacantes
podrían utilizarlo para realizar llamadas telefónicas, mandar SMS e incluso
navegar por Internet a páginas web controladas por ellos mismos desde donde
descargar malware que permitiera a estos atacantes tener un control mucho más
global del mismo.
Tal como afirman los investigadores de seguridad, si un atacante
intenta hacer uso de esta técnica en distintos lugares públicos como bares o
aeropuertos podría hacer que decenas, e incluso centenas de números llamaran al
mismo tiempo a una línea de tarificación premium pudiendo conseguir una
interesante cuantía de dinero en cuestión de segundos. Según la teoría, es
posible utilizar esta técnica a más distancia, sin embargo, ello requeriría una
mayor potencia de señal y unas baterías más grandes, por lo que el atacante
podría llamar la atención.
Es un fallo importante, aunque también tiene una solución sencilla:
desactivar el asistente de voz en la pantalla de bloqueo, tanto en Android como
en iOS.
Fuente: The Hacker News