Un grupo de hackers franceses acaba de descubrir una vulnerabilidad que permite controlar Siri o Google Now de forma remotay silenciosa a través de la radiofrecuencia. Un fallo de seguridad digno de una película de espías que pone en alerta a millones de personas de todo el mundo que utilizan a diario tanto el asistente de voz desarrollado por Apple para los iPhone como la versión equivalente disponible para móviles Android.

Los ciberdelincuentes pueden utilizar las ondas de radio para controlar de manera remota Siri, lo que abre un largo abanico de posibilidades: desde realizar llamadas a enviar mensajes, pinchar el teléfono de la víctima o ejecutar diferentes ataques de malware, spam o phising a través del navegador, correo electrónico o redes sociales.

El fallo de seguridad afecta por igual a Siri y a Google Now según detallan en un artículo José Lopes Esteves y Chaouki Kasmi. Para llevarlo a cabo, eso sí, es necesario que la víctima tenga conectados unos auriculares al teléfono móvil, actuando como antena receptora del ataque por radiofrecuencia. 

Tanto Siri como Google Now interpretan las ondas electromagnéticas como audio proveniente del micrófono de los auriculares que están conectados al smartphone. A través de esta vulnerabilidad los hackers pueden controlar Siri -siempre que el usuario tenga la pantalla del móvil bloqueada- o Google Now desde una distancia máxima de 5 metros.

"El cielo es el único límite. Todo lo que puedes hacer a través de la interfaz de voz se puede realizar de forma remota y silenciosa por medio de ondas electromagnéticas", explica Vincent Strubel, el director del grupo de la agencia nacional de seguridad de los sistemas de información (ANSSI) del gobierno francés que ha puesto de relieve este fallo de seguridad en Siri y Google Now.

Cómo escuchar y eliminar todo lo que le has dicho a Google

Según los hackers, el problema afecta tanto al nuevo iPhone 6S como al resto de móviles Apple y a los dispositivos que funcionan bajo el sistema operativo Android. Y aunque la víctima lo tendría fácil para detectar la intrusión al ver en la pantalla del móvil comandos de voz que él no está utilizando, la vulnerabilidad podría suponer un problema en áreas densamente pobladas, donde los hacjers podrían utilizar los ataques para ejecutar llamadas a números premium.

Desactivar el asistente personal en la pantalla de bloqueo parece una solución lógica para impedir este tipo de ataques, pero no es la única alternativa.

De hecho, la ANSSI se ha puesto en contacto tanto con Apple como con Google para buscar otras fórmulas, que podrían incluir la introducción de una palabra clave personalizada para despertar a Siri o Google Now en lugar de "Hey Siri" o "Ok Google", o bien utilizar el reconocimiento de voz para bloquear los comandos de personas desconocidas.

Aprende a usar Siri para controlar el Apple Homekit

"Para desbloquear el teclado de un teléfono móvil necesitas introducir un código PIN o un patrón generado por el usuario. Sin embargo, la interfaz de voz escucha continuamente sin sistemas de autentificación", explica Strubel en declaraciones que recoge Wired.

La vulnerabilidad de Siri y Google Now que permite utilizar los asistentes personales de forma remota a través de la radiofrecuencia pone de manifiesto la necesidad de mejorar la seguridad de estos sistemas para impedir ciberataques. La solución, por ahora, parece pasar por utilizar auriculares Bluetooth.

[Fuente: TechWorm]