El mundo de los dispositivos IoT, y en concreto aquellos que utilizamos en casa, es a día de hoy un ecosistema vulnerable a multitud de tipos de ataques. En éste que vamos a ver hoy, se utiliza un haz de luz tipo láser para poder enviar comandos (directamente al micrófono) a los asistentes virtuales que tenemos en casa. Pero no es la primera vez que se utiliza “luz” para controlar de forma remota alguno de los asistentes de Google, Amazon o Apple como Alexa, Google Assistant o Siri.
En 2019 investigadores de la Universidad de Michigan y la Universidad de Electro-Comunicaciones (Tokio), consiguieron explotar esta vulnerabilidad sobre dichos dispositivos. Codificando un “haz de luz” (láser) consiguieron inyectar comandos de voz de forma totalmente silenciosa, es decir, no se veía o se escuchaba ninguna acción directa sobre el dispositivo atacado (ya fuera una tablet, smartphone o un altavoz inteligente).
Pero, además, fueron capaces de enviar estos comandos a través de una ventana situada en otro edificio a una distancia de 110 metros. ¿Cómo es posible esto si estos aparatos sólo deben de recibir comando a través de sonidos (voz)? ¿qué tienen en común estos dispositivos para que sean vulnerables a estos ataques?
Los micrófonos MEMS
La tecnología MEMS (Microelectro-Mechanical Systems) ha supuesto un gran avance en el funcionamiento, mejor adaptación a los cambios externos (temperatura, humedad, etcétera) y la calidad de los micrófonos ya que con ella el consumo se reduce, la sensibilidad aumenta y sobre todo permiten reducir su tamaño de manera espectacular. Estos sensores acústicos están compuestos por diferentes capas de distintos materiales detrás de los cuales se ubica finalmente la típica membrana acústica, presente en la mayoría de los dispositivos de este tipo.
Los micrófonos MEMS
La tecnología MEMS (Microelectro-Mechanical Systems) ha supuesto un gran avance en el funcionamiento, mejor adaptación a los cambios externos (temperatura, humedad, etcétera) y la calidad de los micrófonos ya que con ella el consumo se reduce, la sensibilidad aumenta y sobre todo permiten reducir su tamaño de manera espectacular. Estos sensores acústicos están compuestos por diferentes capas de distintos materiales detrás de los cuales se ubica finalmente la típica membrana acústica, presente en la mayoría de los dispositivos de este tipo.
Figura 4: Corte transversal de un MEMS donde podemos ver la parte del sensor acústico a la izquierda (Figura 2) y el ASIC a la derecha
Dicho movimiento de la membrana generado por las ondas sonoras hace que esta oscile realizando cambios en los valores de capacitancia (es decir, actúan como un condensador que varía de carga) entre ella y el resto del circuito. Dichos cambios finalmente se convierten en una señal eléctrica creada por un ASIC (Application-Specific Integrated Cirtuit) el cual también se encarga de mantener la carga capacitiva que antes hemos mencionado. Es decir, convierten la señal de entrada analógica (ondas de sonido) en una digital.
Un juguete para gatos y una nueva investigación
Este mismo equipo ha realizado una nueva demostración este año de hasta dónde podemos llegar respecto a la aplicación práctica de la vulnerabilidad. Todos los detalles se verán en la BlackHat de Europa y allí nos mostrarán como es posible realizar acciones directas contras estos asistentes digitales, como por ejemplo abrir la puerta de un garaje, deshabilitar una cámara de seguridad, sistemas industriales, etcétera. También nos enseñarán cómo “suena” este ataque cuando el haz de luz impacta contra el micrófono MEMS. Los dispositivos sobre los cuales realizaron la implementación del ataque fueron Siri, Google Home, Amazon Echo y Facebook Portal.
Este mismo equipo ha realizado una nueva demostración este año de hasta dónde podemos llegar respecto a la aplicación práctica de la vulnerabilidad. Todos los detalles se verán en la BlackHat de Europa y allí nos mostrarán como es posible realizar acciones directas contras estos asistentes digitales, como por ejemplo abrir la puerta de un garaje, deshabilitar una cámara de seguridad, sistemas industriales, etcétera. También nos enseñarán cómo “suena” este ataque cuando el haz de luz impacta contra el micrófono MEMS. Los dispositivos sobre los cuales realizaron la implementación del ataque fueron Siri, Google Home, Amazon Echo y Facebook Portal.
Los investigadores “sólo” invirtieron 2.000 USD en equipo para llevar a cabo el ataque, los cuales denominaron "Comandos de Luz", donde incluyeron varios punteros láser, un controlador de láser y un amplificador de sonido. De esta cantidad de dinero, los punteros láser fueron los elementos más baratos, ya que son los típicos que se compran para jugar con los gatos por pocos euros.
Por otro lado, los elementos más caros fueron los dispositivos ópticos para poder enviar el haz de luz y el controlador láser. Por ejemplo, necesitaron un teleobjetivo para realizar esta acción, ya que la información se codifica y modula previamente para finalmente enviarla.
Inyectando el sonido con luz láser
Para realizar la PoC de este ataque, utilizaron un diodo láser modelo Osram PLT5 450B conectado a un controlador Thorlabs LDC205C. Este controlador láser se utilizó para incrementar el voltaje del diodo para de esta forma, emitir un rayo láser continuo de 5mw. Utilizando un osciloscopio y apuntando ese rayo hacia un micrófono MEMS modelo Analog Devices ADMP401, finalmente grabaron los diferentes voltajes del diodo y del micrófono utilizando un osciloscopio Tektronix MSO5204 (por cierto, un osciloscopio de 16.000€ el modelo más básico, que no pusieron en el presupuesto).
Inyectando el sonido con luz láser
Para realizar la PoC de este ataque, utilizaron un diodo láser modelo Osram PLT5 450B conectado a un controlador Thorlabs LDC205C. Este controlador láser se utilizó para incrementar el voltaje del diodo para de esta forma, emitir un rayo láser continuo de 5mw. Utilizando un osciloscopio y apuntando ese rayo hacia un micrófono MEMS modelo Analog Devices ADMP401, finalmente grabaron los diferentes voltajes del diodo y del micrófono utilizando un osciloscopio Tektronix MSO5204 (por cierto, un osciloscopio de 16.000€ el modelo más básico, que no pusieron en el presupuesto).
Figura 7: Light Commands Overview
Figura 8: Componentes de la PoC donde vemos el osciloscopio, el controlador láser y el resto de elementos utilizados.
Figura 9: Cómo Klingonizar un iPhone por Chema Alonso
Este ataque me recuerda, y además sería complementario, al que Chema Alonso nos contó en un artículo donde nos habló sobre cómo “Klingonizar” un iPhone. Con esta técnica, podrían enviarse los comandos que Chema nos hablaba en su post directamente vía rayo láser.
El futuro de los asistentes digitales y su seguridad
El problema es realmente importante, lo suficiente para que los fabricantes de estos dispositivos lo tengan en cuenta para mitigarlos en futuras actualizaciones. De hecho, los investigadores se pusieron en contacto con ellos antes de hacer públicos estos experimentos. Parece que, en principio, sólo Amazon ha realizado algunas actualizaciones sencillas en el software de Alexa para mitigarlo.
Figura 10: Movistar Home viene con bloqueo de webcam y micrófono
Pero es cierto que las nuevas generaciones de estos dispositivos vienen con una pequeña cubierta sobre el micrófono, algo que podría bloquear la señal del láser (Movistar Home, dispositivo que incluye la IA de Telefónica llamada Aura, te permite exactamente realizar esta operación desactivar tanto la cámara como el micrófono de manera física, algo que de momento, no ofrecen los otros fabricantes de asistentes digitales) o simplemente atenuarla lo suficiente para que no llegara toda la información. No está claro si esta cubierta la han puesto después de ser informados por este tipo de ataque.
Como hemos podido comprobar, los ataques estos aparatos IoT son cada vez más sencillos de realizar, utilizando electrónica asequible al más puro estilo maker. Si quieres profundizar en el maravilloso mundo de la electrónica y sus aplicaciones en la seguridad, te recomiendo estos dos libros de 0xWord perfectos para regalar estas navidades ;)
Happy Hacking Hackers!!!
Autor: Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.
Figura 11: Libros de Raspberry Pi para Hackers & Makers de Amador Aparicio, Héctor Alonso y Pablo Abel Criado y de Arduino para Hackers de Alvaro Núñez-Romero y Alexandra Sánchez, ambos de la editorial 0xWord.
Happy Hacking Hackers!!!
Autor: Fran Ramírez, (@cyberhadesblog) es investigador de seguridad y miembro del equipo de Ideas Locas en CDO en Telefónica, co-autor del libro "Microhistorias: Anécdotas y Curiosidades de la historia de la informática (y los hackers)", del libro "Docker: SecDevOps", también de "Machine Learning aplicado a la Ciberseguridad” además del blog CyberHades. Puedes contactar con Fran Ramirez en MyPublicInbox.
Contactar con Fran Ramírez en MyPublicInbox |
No hay comentarios:
Publicar un comentario