El cable de unos auriculares conectados al terminal puede ser la puerta de acceso, según han probado unos investigadores franceses
16 oct 2015 . Actualizado a las 18:43 h.Los asistentes personales de su teléfono móvil pueden convertirse en el recoveco por el que se le cuele un hacker en el terminal. Y se ponga a hacer de las suyas. Es lo que han probado dos investigadores franceses de la ANSSI (Agence Nationale de la Sécurité des Systèmes d'information), José Lopes Esteves y Chaouki Kasmi, tal y como recoge la publicación especializada Wired. Según las investigaciones de los expertos galos, Siri y Google Now, los comandos de voz para iPhone y Android son vulnerables a estos ataques a una distancia de unos cinco metros, siempre que el usuario tenga conectados unos auriculares con micrófono.
La ofensiva se perpetra por radiofrecuencia. De forma remota y discreta. Los investigadores han probado que se pueden usar ondas de radio para activar los asistentes. ¿Cómo? El cable de los auriculares actúa como antena receptora. Esas señales eléctricas que recibe el sistema operativo del teléfono se toman como audio proveniente del micrófono del usuario. El obediente asistente ya está entonces a las órdenes del pirata informático. Lo que puede pasar: desde llamadas a números de pago que le generen dinero rápido al ciberdelincuente, hasta fechorías através de malware o spam.
El director del grupo de investigación del ANSSI Vicente Strubel explica -para que no haya dudas sobre la posibilidad de acceso con este método- que «todo lo que se puede hacer através de la interfaz de voz, se puede hacer a través de ondas electromagnéticas». Esto es, si un malintencionado experto está en ese radio de acción de cinco metros, y provisto de tal aparato de radio, los móviles están a sus pies. Siempre que se den dos circunstancias; que el smartphone tenga conectado, tal y como se ha indicado, unos auriculares con microfóno, y que el propietario del móvil no esté lo suficientemente atento como para cancelar una orden «sospechosa» a su asistente.
Los investigadores plantean una situación hipotética: un hacker podría ocultar el dispositivo de radio, pequeño, en una mochila y apostarse en una zona muy concurrida. Comienza a transmitir comandos de voz para todos los teléfonos que circulen a su alcance. Es cuestion de esperar. «Se podría imaginar un bar o un aeropuerto, donde hay un montón de gente», ejemplifica Strubel.
Como prueba de su investigación, los técnicos franceses realizaron un experimento con un móvil al que dieron la orden, siguiendo este método, para que accediese a una página web:
Strubel subraya que «para usar el teclado de un teléfono es necesario introducir un código PIN. Sin embargo, la interfaz de voz se escucha todo el tiempo sin autentificación», aunque ya hay versiones que verifican la voz del dueño.
Ninguno de los dos gigantes de la informática han dado respuesta a la investigación de ANSSI, según asegura la especializada Wired.