Las ondas ultrasónicas no hacen ningún sonido pero aún pueden activar Siri en su teléfono celular y hacer que haga llamadas, tomar imágenes o leer el contenido de un texto a un extraño. Todo sin el conocimiento del propietario del teléfono.

Los ataques a teléfonos móviles no son nuevos, y los investigadores han demostrado anteriormente que las ondas ultrasónicas se pueden utilizar para enviar un solo comando a través del aire.

Sin embargo, Una nueva investigación de la Universidad de Washington en St. Louis amplía el alcance de la vulnerabilidad que representan las ondas ultrasónicas para la seguridad de los teléfonos móviles. Estas olas los investigadores encontraron, puede propagarse a través de muchas superficies sólidas para activar los sistemas de reconocimiento de voz y, con la adición de hardware barato, la persona que inicia el ataque también puede escuchar la respuesta del teléfono.

Los resultados se presentaron el 24 de febrero en el Simposio de seguridad de redes y sistemas distribuidos en San Diego.

"Queremos crear conciencia sobre esta amenaza, "dijo Ning Zhang, profesor asistente de ciencias de la computación e ingeniería en la McKelvey School of Engineering. "Quiero que todos en el público sepan esto".

Zhang y sus coautores pudieron enviar comandos de "voz" a teléfonos celulares mientras se sentaban discretamente en una mesa, al lado del dueño. Con la adición de un micrófono colocado sigilosamente, los investigadores pudieron comunicarse de ida y vuelta con el teléfono, finalmente controlarlo desde lejos.

Las ondas ultrasónicas son ondas sonoras en una frecuencia más alta de la que los humanos pueden escuchar. Micrófonos de celular, sin embargo, puede y graba estas frecuencias más altas. "Si sabes jugar con las señales, puede obtener el teléfono de modo que cuando interprete las ondas sonoras entrantes, pensará que estás diciendo un comando, "Dijo Zhang.

Para probar la capacidad de las ondas ultrasónicas para transmitir estos "comandos" a través de superficies sólidas, el equipo de investigación organizó una serie de experimentos que incluían un teléfono sobre una mesa.

En la parte inferior de la mesa había un micrófono y un transductor piezoeléctrico (PZT), que se utiliza para convertir la electricidad en ondas ultrasónicas. Al otro lado de la mesa desde el teléfono, aparentemente oculto para el usuario del teléfono, es un generador de formas de onda para generar las señales correctas.

El equipo realizó dos pruebas, uno para recuperar un código de acceso SMS (texto) y otro para realizar una llamada fraudulenta. La primera prueba se basó en el comando común del asistente virtual "leer mis mensajes" y en el uso de la autenticación de dos factores, en el que se envía un código de acceso al teléfono de un usuario, desde un banco, por ejemplo, para verificar la identidad del usuario.

El atacante primero le dijo al asistente virtual que bajara el volumen al nivel 3. En este volumen, la víctima no notó las respuestas de su teléfono en una oficina con un nivel de ruido moderado.

Luego, cuando llegó un mensaje simulado de un banco, el dispositivo de ataque envió el comando "leer mis mensajes" al teléfono. La respuesta fue audible por el micrófono debajo de la mesa, pero no a la víctima.

En la segunda prueba, el dispositivo de ataque envió el mensaje "llama a Sam con el altavoz, "para iniciar una llamada. Usando el micrófono debajo de la mesa, el atacante pudo mantener una conversación con "Sam".

El equipo probó 17 modelos de teléfonos diferentes, incluidos los iPhones populares, Modelos Galaxy y Moto. Todos menos dos eran vulnerables a los ataques de ondas ultrasónicas.

Las ondas ultrasónicas atravesaron el metal, vidrio y madera

También probaron diferentes superficies de mesa y configuraciones de teléfonos.

"Lo hicimos en metal. Lo hicimos en vidrio. Lo hicimos en madera, ", Dijo Zhang. Intentaron colocar el teléfono en diferentes posiciones, cambiar la orientación del micrófono. Colocaron objetos sobre la mesa en un intento de amortiguar la fuerza de las olas. "Todavía funcionó, ", dijo. Incluso a distancias de hasta 30 pies.

Los ataques de ondas ultrasónicas también funcionaron en mesas de plástico, pero no tan confiablemente.

Los casos de teléfono solo afectaron ligeramente las tasas de éxito de los ataques. Poniendo agua sobre la mesa, potencialmente para absorber las olas, no tuvo ningún efecto. Es más, una ola de ataque podría afectar simultáneamente a más de un teléfono.

El equipo de investigación también incluyó a investigadores de la Universidad Estatal de Michigan, la Universidad de Nebraska-Lincoln y la Academia China de Ciencias.

Zhang dijo que el éxito del "ataque de surf, "como se llama en el periódico, destaca el vínculo menos discutido entre lo cibernético y lo físico. A menudo, Los medios de comunicación informan sobre las formas en que nuestros dispositivos están afectando al mundo en el que vivimos:¿Nuestros teléfonos celulares están arruinando nuestra vista? ¿Los auriculares o audífonos dañan nuestros oídos? ¿Quién tiene la culpa si un vehículo autónomo provoca un accidente?

"Siento que no se está prestando suficiente atención a la física de nuestros sistemas informáticos, ", dijo." Esta será una de las claves para comprender los ataques que se propagan entre estos dos mundos ".

El equipo sugirió algunos mecanismos de defensa que podrían proteger contra tal ataque. Una idea sería el desarrollo de un software telefónico que analice la señal recibida para discriminar entre ondas ultrasónicas y voces humanas genuinas. Dijo Zhang. Cambiar el diseño de los teléfonos móviles, como la ubicación del micrófono, amortiguar o suprimir las ondas de ultrasonido también podría detener un ataque de surf.

Pero Zhang dijo que hay una forma sencilla de mantener un teléfono fuera del alcance de las ondas ultrasónicas:la defensa basada en capas intermedias, que usa un suave, tela tejida para aumentar el "desajuste de impedancia".

En otras palabras, pon el teléfono sobre un mantel.