Un láser permite ‘hackear’ el asistente de voz y los altavoces inteligentes

Es posible manipular altavoces inteligentes con láser. Los investigadores de ciberseguridad de la Universidad de Michigan (EE UU) han demostrado que apuntando con un láser de alta potencia al micrófono de un iPad se puede alterar la configuración del dispositivo. Esto ocurre porque el micrófono del iPad convierte la luz del láser en una señal eléctrica a la misma frecuencia que la voz del propietario del altavoz. Cuando esto ocurre, el cibercriminal puede abrir la puerta de su garaje o la de su coche. 

Los altavoces y asistentes de voz tienen un micrófono que funciona con una membrana que vibra cuando las personas emiten sonidos. “Nosotros modulamos la presión en el aire y las ondas sonoras que llegan a la membrana del micrófono vibran. Esas vibraciones se convierten en un impulso eléctrico, o sea, en sonido. Después, un sistema electrónico interpreta los sonidos”, explica Luis Viña, catedrático de física de materiales de la Universidad Autónoma de Madrid (UAM). 

Vulnerar los altavoces inteligentes ajenos es tarea fácil para cualquier físico o ingeniero con conocimientos en luz y sonido. Los investigadores han demostrado que a 100 metros se puede iluminar la pantalla del altavoz de manera que la luz incida sobre la membrana del micrófono. “Como el láser tiene fotones y energía, calienta y hace vibrar la membrana del micrófono. Cuánto más intenso sea el láser más calienta la membrana y más la hace vibrar y cuánto menos intenso, la hace vibrar de manera moderada”, señala Viña. Es decir: al calentarla se expande y contrae, que es lo mismo si le llegan ondas sonoras.

Si los ciberdelincuentes son capaces de producir modulaciones de esa señal acústica, después solo tienen que hacer un análisis de Fourier. Este sistema se basa en ordenar frecuencias por intensidad. “Modulas el láser de la misma manera, reproduces la intensidad y en vez de crear ondas sonoras creas ondas de luz que producen vibraciones exactamente iguales que la voz del dueño de un altavoz inteligente”, confirma Viña.

Modulas el láser de la misma manera, reproduces la intensidad y en vez de crear ondas sonoras creas ondas de luz que producen vibraciones exactamente iguales que la voz del dueño de un altavoz inteligente

Sin embargo, los investigadores no están convencidos de que este sea el método por el que se consigue vulnerar el dispositivo y dejan abierta una segunda posibilidad. El láser llega a algún aparato electrónico y hace un efecto fotovoltaico. Es decir, que la absorción de los fotones crea una corriente eléctrica. “Sin embargo, si este fuera el método el cibercriminal, debería ser muy preciso y saber dónde esta la membrana de manera exacta. Por lo tanto, la primera teoría me parece más próxima a lo que puede suceder”, subraya Viña.

El hackeo se puede llevar a cabo con un laser de luz verde o azul. Aunque también se puede hacer con láseres infrarrojos, que tienen la ventaja de que no se ven. Sin embargo, son muy peligrosos ya que si un ojo se interpusiera entre el haz de luz y el dispositivo podría quemar la retina.

Google asegura que no es fácil que este tipo de cibercriminales actúen asiduamente, pero que están siguiendo muy de cerca esta investigación. “Proteger a nuestros usuarios es primordial y siempre estamos buscando formas de mejorar la seguridad de nuestros dispositivos", asegura un portavoz de Google. Otra empresa que podría verse afectada es Amazon. “La confianza del cliente es nuestra máxima prioridad y nos tomamos muy en serio su seguridad y la de nuestros productos. Estamos analizando esta investigación y seguimos colaborando con los autores para entender mejor los detalles de su trabajo”, señalan fuentes de Amazon.

Lo único que puede hacer un usuario es colocar los dispositivos fuera del alcance visible desde el exterior de la vivienda, evitando así la manipulación a distancia por este método

No obstante, los expertos afirman que es una vulnerabilidad extremadamente peligrosa, no sólo por todo lo que un cibercriminal puede hacer, sino porque, desde el punto de vista de la ciberseguridad, poco se puede hacer desde la posición de usuario, ya que no existen técnicas específicas de prevención y protección frente a este tipo de ataques. Lo único que pueden hacer es colocar estos dispositivos fuera del alcance visible desde el exterior de la vivienda, evitando así la manipulación a distancia por este método.

Por tanto, deben estar atentos a las actualizaciones del software de estos dispositivos para poder parchear esta vulnerabilidad. “En el futuro, los fabricantes podrían incluir reconocimiento por huella vocal para prevenir este uso malicioso o bien la autenticación selectiva de las órdenes que se realizan a través de estos sistemas, por ejemplo, para realizar pedidos, para prevenir el uso accidental o malicioso de este tipo de órdenes. Sin embargo, como consecuencia de este hecho se perderá la agilidad y facilidad de uso inherente a estos dispositivos”, explica Eusebio Nieva, director técnico de CheckPoint en España y Portugal.

Aparte de esta vulnerabilidad, hace unos meses se descubrió un fallo de seguridad que permitía a los ciberatacantes espiar las conversaciones de miles de usuarios de los altavoces inteligentes tanto de Google como de Amazon. Además, permitía extraer información personal como conversaciones o contraseñas. “En algunos dispositivos de Google se descubrió un bug (error o defecto en el software) mediante el cuál se realizaba un registro de cualquier tipo de audio sin aviso ni consentimiento previo. Además, es importante recordar que algunos fabricantes de estos sistemas han reconocido que almacenan durante un tiempo las comunicaciones vocales de millones de usuarios con el propósito de mejorar la precisión de los dispositivos”, concluye Nieva.