OFI.com
El E-commerce para las empresas

Cortana

Cortana les permite a los investigadores burlar el bloqueo de su contraseña con comandos de voz

Tanto si eres un usuario de Cortana como si, parece que el asistente digital está aquí para quedarse por un buen tiempo. Los investigadores de seguridad Tal Be’ery y Amichai Shulma descubrieron que Cortana es capaz de responder a las órdenes incluso cuando las computadoras están hibernando o están bloqueadas. Esto ha abierto algunas vías creativas que individuos con malas intenciones pueden aprovechar.

Con la ayuda de Cortana, se puede abrir un navegador de internet e indicarle que se dirija a un sitio de internet inseguro. Desde allí, se puede instalar el malware en la computadora objetivo y obtener un acceso total a ese dispositivo. Mientras esto sucede, la computadora parece permanecer bloqueada a pesar del hecho de que es posible que el agresor ejecute los programas de manera remota.

Un problema que presentan casi todos los asistentes controlados por voz es que cualquiera puede emitir órdenes. De hecho, Cortana cuenta con una configuración para “intentar responderme sólo a mí”, pero todavía no es del todo exacta y puede recibir órdenes de otras personas. Con una mejor diferenciación de las voces de los usuarios, sería mucho más difícil realizar este ataque en específico. Una solución obvia es que Microsoft simplemente inhabilite Cortana cuando un usuario no sea autenticado.

Incluso con un reconocimiento de voz perfecto, los sistemas de voz todavía son susceptibles a los sonidos ultrasónicos. Investigadores chinos han desarrollado un exploit llamado DolphinAttack que usa señales de alta frecuencia para emitir comandos de voz a los asistentes digitales. Estos son completamente inaudibles para los seres humanos, pero aun así, todavía pueden ser detectados con micrófonos de calidad estándar.

En la práctica, da la impresión que este abuso de Cortana requeriría de acceso físico, pero ese no es el caso. El volumen en una computadora infectada puede elevarse en un intento de activar Cortana en dispositivos cercanos. Esto sí requiere que los hablantes estén presentes, pero conduce a posibilidades interesantes para atacantes potenciales, ofreciendo capacidades tipo gusano.

El viernes, en Kaspersky Analyst Security Summit,  se expondrá una presentación completa con los descubrimientos.

Leave A Reply

Your email address will not be published.