Un nuevo tipo de ataque está en ciernes en la industria tecnológica, se trata de NUIT, o ataque ultrasónicos, troyanos inaudibles de ultrasonido cercano, que pueden explotar vulnerabilidades en dispositivos IoT equipados con micrófono y asistentes de voz como Apple Siri, Google Assistant y Microsoft Cortana. Los ataques no pueden ser escuchados por los humanos, pero pueden convertir efectivamente los dispositivos inteligentes en dispositivos potencialmente maliciosos.
Sin embargo, por ahora los virus han sido creados por investigadores de la Universidad de Texas, San Antonio, y la Universidad de Colorado y se mostrarán en el próximo 32º Simposio de Seguridad USENIX, del 9 al 11 de agosto, en Anaheim, California. El equipo de investigación proporcionó una demostración preliminar a The Register, mostrando dos ataques separados: NUIT-1 y NUIT-2.
El primero envía señales de ultrasonido cercano a un altavoz inteligente para comprometer el micrófono y el asistente de voz en el mismo dispositivo. El segundo explota el altavoz de una víctima para atacar el micrófono y el asistente de voz en un dispositivo diferente.
Los ataques NUIT funcionan modulando los comandos de voz en señales casi ultrasónicas, que el oído humano no puede detectar, pero los asistentes de voz sí.
Los investigadores pudieron controlar el volumen de un iPhone con una instrucción silenciosa de menos de 77 ms («habla el seis por ciento») para reducir el volumen del teléfono inteligente al 6%. Una segunda instrucción silenciosa («abre la puerta») les permitió usar Siri para abrir la puerta principal de la víctima a través de la aplicación Home de Apple.
El ataque NUIT-2 envía señales ultrasónicas integradas a través de una teleconferencia como una reunión de Zoom. Este vector permite a los hackers explotar un teléfono cercano de forma remota. Los ataques NUIT-2 no tienen la ventana de tiempo de 77 ms, lo que permite a los investigadores probar comandos más complejos.