Llamas a tus padres, que te han pedido ayuda para comprar unos billetes de tren. Como estás en casa, tranquilo, activas el altavoz para hablar en manos libres. En la conversación, salen a la luz los datos de la tarjeta de crédito para pagar los tickets, o el número de cuenta para hacer una transferencia. Datos sensibles que ahora, según una nueva investigación, también podrían detectar los ciberdelincuentes tan solo a través de la vibración del altavoz, sin necesidad de acceder al micrófono.
你在给你的父母打电话,他们找你帮忙买火车票。因为你一个人在家,家里也很安静,你打开了手机的扬声器,以便让自己解放双手。然而在付钱买票的时候,关于银行卡的数字信息或是转账账号信息就暴露了出来。据一项最新研究,网络犯罪分子可以通过扬声器的震动获取这些敏感的数据,而且不需要获得你的麦克风权限。


(图源:视觉中国)
Coloca las manos delante de un altavoz cualquiera. Notarás la vibración en tu palma. Ahora piensa si la palma de tu mano fuera capaz de "traducir" lo que estás entendiendo a través de los oídos y tu conocimiento. Si esa mano la cambiamos por un sensor de movimiento que está incorporado en el teléfono móvil y le dotamos de la inteligencia suficiente como para transcribir esas vibraciones en un significado, ya tendríamos lo que han descubierto los investigadores del SPIES Lab de la Universidad de Alabama en Birmingham, junto con los de la Universidad de Rutgers , ambas en Estados Unidos.
把手放到任何一个扬声器上,你的手掌都会感受到震动。现在想象一下,你的手掌能够直接“翻译”你通过听力和认知来理解的东西。如果我们把手掌变成一个内置于手机里的移动传感器,赋予它足够的智慧让它能够把震动转译成有含义的东西会怎么样?这就是一些来自美国阿拉巴马大学伯明翰分校(Universidad de Alabama en Birmingham)的SPIES研究所联合美国罗格斯大学(Universidad de Rutgers)的研究者们发现的东西。

Sin embargo, a pesar de lo llamativo de este hallazgo, los propios investigadores aseguran que no es fácil de desarrollar, aunque, en caso de que un ciberdelincuente explotara este recurso, también sería muy complicado de detectar y de eliminar.
然而,尽管这项发现有很吸引人的地方,研究者们本人指出,要发展这项技术并不容易。此外,一旦有网络犯罪分子发现了这种手段,它也是很难监测到并删除的。

Para comprobar su teoría, lo que hicieron fue crear una especie de virus informático modificado para tal fin llamado Spearphone. Los voluntarios que participaban en el experimento se descargaban una aplicación móvil que estaba infectada y, a partir de ahí, el virus empezaba a trabajar.
为了证明这个理论,研究者们创造了一系列计算机病毒,名字叫做Spearphone。参与实验的志愿者们下载了一个被这一病毒感染的应用软件,从那时候起,病毒就开始运作了。

"Demostramos que las reverberaciones del habla de los altavoces incorporados, a un volumen adecuado, pueden impactar en el acelerómetro, filtrando información sensible sobre el discurso", explican los investigadores. "En particular, demostramos que al explotar las lecturas del acelerómetro afectadas y seleccionando cuidadosamente conjuntos de características junto con técnicas de aprendizaje automático, Spearphone puede realizar la clasificación de género (con una precisión superior al 90%) y la identificación del hablante (con una precisión más del 80%)".
“我们发现手机扬声器的反射在音量合适的时候,可以对加速计传感器产生影响,过滤通话中的敏感信息。”研究者们解释道,“尤其是,我们发现通过探究加速计受影响的读数,用自动学习技术小心选择出有特征的数据组时,Spearphone可以实现性别区分(准确率高于90%)并且能够确认说话者的身份(准确率高于80%)。”


(图源:视觉中国)
Otra de las conclusiones principales a las que llegaron los investigadores fue que no en todas las llamadas podrían producirse estas brechas de seguridad. Tan solo sería posible en las que utilizan el manos libres, ya que son las que más vibraciones producen y donde más fácil tendrían las reverberaciones para llegar hasta el sensor de movimiento “hackeado”.
研究者们得出的另一个基本结论是,不是在所有通话中都会出现这样的安全漏洞的。只有当机主使用扬声器的时候才会有可能,因为震动产生于扬声器,这样反射才能到达“被黑客控制了的”移动传感器。

Ahora bien, según los propios investigadores "nuestra propuesta de amenaza puede extenderse a los asistentes de voz inteligentes de los teléfonos (como Google Assistant o Samsung Bixby), que se comunican reafirmando comandos y utilizando los altavoces del teléfono. Aunque esta acción proporciona una mejor experiencia de usuario, también abre la posibilidad de que que el atacante aprenda las respuestas del asistente de voz".
但是,根据研究人员自己说:“我们认为潜在威胁可能还包括手机的智能语音助手(比如谷歌助手或者三星的Bixby),它们交流时通过扬声器重复指令。虽然这项功能有助于更好的用户体验,但也带来了信息泄露的可能性。”

En definitiva, aunque por el momento los ciberdelincuentes no se hayan dedicado a explotar estas vulnerabilidades -principalmente porque hay otras más sencillas, más baratas y con mejor resultado-, queda abierta la puerta a posibles brechas de seguridad con este sistema. Consejo: por si acaso, no des datos sensibles como los de la tarjeta de crédito a través del manos libres del móvil. Si puedes, siempre mejor a través de dos vías (el número de tarjeta por Whats App y el número CVC por SMS por ejemplo) o, preferiblemente, in situ para evitar espías indeseados.
总的来说,虽然现在网络犯罪分子还没有开始利用这方面的漏洞——主要是因为有更简单的漏洞可以利用,更便宜,效果更好——但这个漏洞仍然存在。专家的建议是:为了以防万一,不要把类似于信用卡号的敏感信息用扬声器说出来。如果可以的话,最好分别用两个途径发(比如卡号用Whats App发,密码用短信发),或者,最好是当面告诉对方,以避免监听。

ref:

oces

声明:双语文章中,中文翻译仅代表译者个人观点,仅供参考。如有不妥之处,欢迎指正。未经允许,请勿转载