lunes, abril 10, 2017

El reconocimiento de voz biométrico en "Oye Siri" y la seguridad

Si has ido a configurar el servicio de "Oye Siri" en español, o "Hey Siri" en inglés, habrás visto que tienes que pasar por un reconocimiento de tu forma personal de decir ese comando. Debes decir varias veces "Oye Siri" para que el terminal aprenda la forma en qué lo dices. Es decir, iOS va a crear algo similar a un patrón biométrico de tu voz para que puedas despertar a Siri sin tocar el botón Home de forma pronunciada.

Figura 1: El reconocimiento de voz biométrico en "Oye Siri" y la seguridad

Con este pequeño entrenamiento, al igual que con el entrenamiento biométrico de Touch ID, lo que se consigue es que el terminal - sin necesidad de utilizar los servicios de la nube de Apple para reconocer tu voz - pueda saber que quieras abrir Siri. O lo que es lo mismo, el terminal iPhone está escuchando todo el rato para ver si es capaz de reconocer el patrón de "Oye Siri" dicho por ti en la cercanía sin enviarlo a Apple - para evitar otro caso como el de las televisiones Samsung -.

Figura 2: Setup de "Oye Siri" en iPhone 7

Esto es así, porque si tu terminal iPhone tuviera que estar enviando todo lo que escucha en el ambiente a los servidores de Apple para saber si se ha dicho "Oye Siri", entonces el consumo de datos móviles se podría disparar, generando un problema al dueño del dispositivo.

¿Sirve para mejorar la seguridad?

Debido a este comportamiento, se genera un pequeño efecto paralelo de seguridad, ya que nadie más puede despertar a Siri con un comando de voz si no tiene tu voz, ya que el comando de "Oye Siri" está asociado a tu patrón biométrico. Pero no debe llevar a nadie a engaño, Siri seguirá atendiendo desde tu terminal a cualquier comando emitido con cualquier voz.

Figura 3: Configuración de Oye Siri en Siri. Para que funcione con la pantalla
bloqueada debe habilitarse Siri para que funcione también con el botón Home.

Es decir, el comando "Oye Siri" se reconoce en local y solo el dueño del terminal podrá utilizar este comando porque está asociado a la biometría de su voz. Sin embargo, para que este comando pueda ser utilizado cuando el terminal está bloqueado, debe permitirse utilizar Siri con la pantalla bloqueada, lo que no tiene mucho sentido.

Los trucos de Hacking iPhone con Siri

Si se permite utilizar Siri con la pantalla bloqueada, entonces cualquier persona podrá utilizar alguno de los múltiples trucos de hacking iOS que existen usando Siri, sin importar para nada que no tenga tu voz. Sí, no podrá despertar a Siri con el comando "Oye Siri", pero sí que podrá hacerlo pulsando el botón Home. Yo lo he probado ayer mismo con el truco de bar para robar cuentas de Gmail o Hotmail con Siri en un terminal con el comando "Oye Siri" entrenado.


Figura 4: Robar una cuenta de Gmail o Hotmail con Siri

Si el dueño del terminal bloquea el uso de Siri con la pantalla bloqueada, entonces no podrá utilizar tampoco el comando "Oye Siri" para despertar a Siri, a menos que el dispositivo esté desbloqueado. Lo que no tiene mucho sentido. Lo que debería permitirse en la configuración es que con la pantalla bloqueada no funcionara despertar a Siri pulsando el botón Home, pero sí utilizando el patrón biométrico del comando "Oye Siri" del dueño del terminal. A ver si Apple se da cuenta y lo arregla para subir un poco el nivel de seguridad, sin necesidad de perjudicar el nivel de usabilidad.

Saludos Malignos!

No hay comentarios:

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares