Los ataques a smartphones para obtener información privada de ellos por parte de terceros son cada vez más y de mayor complejidad. Generalmente se utiliza algún malware o bugs (como en un caso reciente de WhatsApp) para acceder al software y enviar la información de forma remota. Pero una nueva investigación demuestra que ni siquiera se requiere de eso, el acelerómetro del teléfono puede bastar para escuchar a alguien.
El acelerómetro es un componente que a día de hoy integran prácticamente todos los smartphones del mercado. Es el que hace posible que el teléfono detecte cuándo está en modo horizontal y cuándo está en modo vertical, básicamente se encarga de detectar el movimiento del teléfono gracias a unos sensores de posición. El movimiento y también la voz con un buen algoritmo.
Cómo convertir el acelerómetro en micrófono
Bajo el nombre de Separphone, un nuevo ataque descubierto recientemente demuestra que es posible utilizar el sensor de movimiento para escuchar información proveniente del teléfono. Esto lo hace sin tener acceso al micrófono o a las apps, es decir, no requiere de permisos del usuario.
Debido a que el altavoz suele ir colocado muy cerca del acelerómetro, este último es capaz de recibir las vibraciones que emite el altavoz sobre la superficie del teléfono y el resto de componentes. Analizando dichas vibraciones (que a fin de cuentas son movimientos que el acelerómetro puede detectar), es posible diferenciarlas y transformarlos en voz mediante un codec específicamente hecho para ello.
La limitación de este ataque la encontramos en la cantidad de información que puede recopilar. Dado que sólo es capaz de analizar las vibraciones provenientes del altavoz, sólo será capaz de "escuchar" lo que se emita por el altavoz. Por ejemplo no puede analizar lo que una persona dice cerca del teléfono, tampoco las llamadas que se realicen por el auricular.
Pero la información que se emite sólo por el altavoz ya es más que suficiente en muchas ocasiones. Hay llamadas que se realizan en manos libres y generalmente los asistentes de voz también responden mediante el altavoz. En estos casos se puede desvelar información sensible que ponga en riesgo la privacidad del usuario.
Los investigadores que han descubierto el ataque (Abhishek Anand, Chen Wang, Jian Liu, Nitesh Saxena, Yingying Chen) explican que es posible detectar por ejemplo el género de la víctima con un 90% de precisión y en un 80% de las ocasiones también diferenciar entre los distintos hablantes. Diferentes factores como el volumen del altavoz, el ruido de fondo, la claridad de la voz o incluso la posición del teléfono pueden mitigar el alcance de este ataque.
La parte interesante (y peligrosa) de este ataque la encontramos en su facilidad para ejecutarse. El acelerómetro es un componente que se encuentra en prácticamente el 100% de los smartphones y también es uno para el que los desarrolladores no necesitan pedir permiso como ocurre con el acceso a las fotografías, a los contactos, a la cámara o al micrófono. Cualquier app que instalemos podría obtener estos datos del acelerómetro y usarlos para escuchar lo que se reproduce en el altavoz, sin que nos demos cuenta.
Vía | The Hacker News
Más información | Spearphone
Imagen | @pongsawat
Ver 6 comentarios