Los investigadores piratean teléfonos inteligentes Android y encuentran un riesgo para la seguridad

Las funciones avanzadas de los teléfonos inteligentes atraen a usuarios que quieren más de sus dispositivos, especialmente en las áreas de salud y entretenimiento, pero ¿crean estas funciones un riesgo de seguridad al realizar o recibir llamadas reales? Un equipo de investigadores académicos de la Universidad Texas A&M y otras cuatro instituciones crearon software malicioso o malware para responder esa pregunta.

El malware de los investigadores, llamado EarSpy, utilizó algoritmos de aprendizaje automático para filtrar una sorprendente cantidad de información de las personas que llaman a partir de los datos de vibración de los parlantes registrados por los propios sensores de movimiento de un teléfono inteligente Android, y lo hizo sin superar ninguna protección ni necesitar permisos del usuario.

"Un ataque estándar a un teléfono móvil pincha el micrófono y graba las voces", dijo Ahmed Tanvir Mahdad, estudiante de doctorado en el Departamento de Ingeniería y Ciencias de la Computación de Texas A&M. "Estamos registrando datos del sensor de movimiento, que no están directamente relacionados con el habla, y detectamos la información de la persona que llama en un ataque de canal lateral".

Mahdad fue el autor principal de “EarSpy: Spying Caller Speech and Identity Through Tiny Vibrations of Smartphone Ear Speakers”, un artículo publicado en diciembre de 2022 que explica los resultados del proyecto. La Fundación Nacional de Ciencias financió la investigación.

Los parlantes en la parte superior de los teléfonos inteligentes son tradicionalmente pequeños y producen bajas presiones de sonido durante las conversaciones. Estas vibraciones mejoran la claridad cuando se presiona el teléfono contra la oreja del usuario. Los parlantes no se consideran una buena fuente de escuchas audibles debido a su tamaño y su funcionamiento. Sin embargo, algunos fabricantes están reemplazando estos pequeños parlantes por otros más grandes para crear los sonidos estéreo necesarios para videos y streaming sin considerar la cantidad de datos de vibración que emiten los parlantes más grandes. Dado que los teléfonos inteligentes están equipados con sensores de movimiento llamados acelerómetros para registrar datos de vibración que rastrean los ejercicios y ubicaciones del usuario, esto ha llevado a una situación en la que las vibraciones de los parlantes también pueden registrarse y potencialmente verse comprometidas.

Los investigadores eligieron dos teléfonos inteligentes recientes de diseño similar, usaban sistemas operativos Android y tenían potentes parlantes. Reproducían voces grabadas sólo a través de los altavoces a un volumen cómodo para el oído del usuario. Luego, los investigadores utilizaron EarSpy para analizar los datos de los acelerómetros de los teléfonos. Descubrieron que EarSpy podía identificar si el hablante era una persona que llamaba repetidamente con un 91,6% de precisión y determinar el género del hablante con un 98,6% de precisión. El malware también reconoció dígitos hablados, específicamente números del cero al nueve, con un 56% de precisión, cinco veces más que una suposición aleatoria.

"Supongamos que está hablando con un proveedor de atención médica o con un agente de servicio al cliente de un banco y le piden que proporcione su número de identificación o de tarjeta de crédito", dijo Mahdad. "Si el malware EarSpy estuviera en su teléfono, el atacante podría acceder a los datos del acelerómetro de su teléfono y extraerlos de su teléfono a través de una conexión a Internet para procesarlos y poder extraer esta información".

La investigación se centró en los teléfonos inteligentes Android porque los datos de los sensores de movimiento se pueden recuperar de ellos sin ningún permiso explícito del usuario.

Investigaciones anteriores indicaron que era difícil extraer características del habla de los datos del acelerómetro inducidos por pequeños parlantes en los teléfonos inteligentes Android más antiguos. Los dos teléfonos más nuevos que eligieron los investigadores tenían parlantes más grandes que brindaban progresivamente más información; el algoritmo podría detectar entre el 45% y el 90% de las regiones de palabras a partir de los datos de su acelerómetro para utilizarlas en análisis posteriores. Las regiones de palabras se refieren a datos que contienen palabras habladas durante las llamadas, excluyendo los ruidos de fondo. Los investigadores extrajeron información sobre la repetición del hablante, el género e incluso palabras identificables pronunciadas a partir de estos datos. Los investigadores concluyeron que mover el acelerómetro a una ubicación diferente en el teléfono podría reducir la cantidad de datos registrados, pero no detendría las grabaciones por completo.

Es posible que se justifiquen pruebas futuras en otros teléfonos, ya que los resultados sugirieron que todos los fabricantes de teléfonos inteligentes deberían ser conscientes de los riesgos de seguridad.

Mahdad señaló que el ataque sólo podría ocurrir si el atacante ocultaba malware en una aplicación que el usuario descargó.

"Cualquier aplicación de apariencia benigna que contenga malware puede extraer esta información, pero sólo si el usuario la aprueba", dijo Mahdad. "Una vez instalado, podría ejecutarse en segundo plano sin notificar al usuario".

Otros investigadores involucrados en el proyecto incluyen al asesor de Mahdad, el Dr. Nitesh Saxena, profesor de Ciencias e Ingeniería de Computación; Dr. Tianming Zhao de la Universidad de Dayton; Dr. Yan Wang y Zhengkun Ye de la Universidad Temple; Dr. Yingying Chen de Rutgers, Universidad Estatal de Nueva Jersey; y el Dr. Cong Shi del Instituto de Tecnología de Nueva Jersey.

Contacto con los medios:Alyson Chapman, [email protected]

Un nuevo proyecto de investigación explorará las herramientas y procesos sin precedentes ahora disponibles a través del aprendizaje automático.

El director del Smart Grid Center de Texas A&M dice que es optimista sobre la confiabilidad de la red a medida que aumentan las temperaturas, pero dice que debemos ser diligentes ante las condiciones cambiantes.

Dos expertos de la Facultad de Artes y Ciencias debaten los peligros del abuso de drogas, la adicción y la actual epidemia de opioides.

Los profesores Adam Barry, Ann McNamara, Srividhya Ragavan y Lori Taylor participarán en el programa de desarrollo de liderazgo de la Conferencia Sureste.

En una de las tradiciones más antiguas de la Universidad Texas A&M, los Aggies recientemente fallecidos serán honrados en una ceremonia solemne.

Suscríbase al boletín informativo Texas A&M Today para conocer las últimas noticias e historias cada semana.