Comandos escondidos en la música: así es la nueva vulnerabilidad de Google Assistant

Escrito por Nacho Teso (@nachoteso)

Los comandos de voz para controlar Google Assistant son una de las formas más cómodas de controlar el asistente digital. Sin embargo, esta posibilidad se ha convertido también en una puerta de entrada para aquellos con malas intenciones.

Ok Google, haz esto por mí

El comando Ok Google es muy cómodo y eficaz. Basta con levantar el móvil, decir Ok Google y ordenar lo que quieres que haga el asistente digital para que se complete la tarea. Por ejemplo, si dices “Recuérdame a las 19:30 sacar la basura”, rellenará los campos del recordatorio y tan solo te hará falta decir “Sí” para guardarlo. Rápido, sencillo, eficaz.

Sin embargo, tiene un problema. A pesar de que en la configuración del Asistente de Google se dice que se configura el modelo de voz, lo cierto es que es muy probable que cualquiera pueda acceder a tu móvil haciendo esto mismo. Si algunas vez habéis visto una presentación de Google en la que han dicho las dos palabras mágicas y teníais el móvil cerca, es probable que el Asistente haya saltado. Es fácil recordar cómo incluso South Park provocó más de una carcajada y un disgusto en un capítulo en el que daba órdenes a todos los asistentes digitales, provocando que se encendieran los asistentes reales de cada hogar:

Qué es lo que está ocurriendo

¿Cuál es el problema entonces? Que si cualquiera puede “activar” tu Asistente, no es seguro. Y si además no puedes escuchar cómo se le dan órdenes, ni siquiera podrás evitarlo. Y eso es lo que está pasando con algunas órdenes maliciosas que se están ocultando en música de YouTube o incluso bajo una señal de ruido, activando asistentes como el de Google o Alexa. Esto, como podéis imaginar, es un auténtico peligro.

assistant comandos escondidos en música

Según informa el New York Times, ya se están dando casos en los que se ordena a los Asistentes digitales enviar mensajes SMS o tomar fotografías, atacando directamente la privacidad de las personas. Si queréis probar cómo sería, simplemente decid “Ok Google” seguido de “Haz una foto” o “Haz un selfie”. Lanzará la cámara, una cuenta atrás y hará la foto. Mediante este mismo comando se está aprovechando para acceder a las cámaras de algunos dispositivos.

Por el momento, Apple, Google y Amazon, las principales empresas afectadas, aseguran estar al tanto de esta situación. Todas ellas están tomando pasos para hacer sus asistentes más seguros y evitar que este problema escale.

Fuente > XDA-Developers