Advanced Persistent ... Toys! : Cómo crear un Chucky "Alonso" [4 de 4] - Conclusión

Y llegamos la última parte de este artículo dedicado a nuestro querido Chucky_as_a_Service que hemos creado en el equipo de Ideas Locas. En este caso para ver el final de los ejemplos de explotación, y para ver algunas contramedidas que vamos a tener que añadir a todos los productos que hagamos que sean "voice-ready" para ver si podemos evitar ataques similares a este donde nos clonen la voz y la utilicen para suplantarnos cuando hablamos a dispositivos que soportan comandos de voz.

Figura 38: Advanced Persistent ... Toys!. Cómo crear un Chucky "Alonso"

[4 de 4] - Conclusión

Antes de nada, vamos terminar los ejemplos de explotación con un par de ellos más, pero en este caso no exfiltrando información, sino ejecutando acciones en tu cuenta.

Explotación: Ejecución de Acciones Añadir Tareas

En este ejemplo vamos a hacer la modificación de un elemento de la lista de tareas, para comprobar si podemos hacer cambios en la configuración que tenga un dispositivo, algo que ya sabemos que va a ser que sí.

Figura 39: Chucky Alonso modificando la lista de tareas de Alexa

 

Esta es una prueba sencilla que bien podría ser la broma clásica que le hacemos a los amigos que tienen Alexa en su casa, donde le añadimos productos que dudamos puedan ser de su interés.

Figura 40: Añadiendo "juguetes sexuales" a la lista de la compra

Pero una vez comprobado que la voz de Chucky funciona, lo más importante es que se puede hacer todo lo que pueda hacer la persona que tiene que Alexa o Google Home en su casa. 

Figura 41: Chucky Alonso y cómo añadir una reunión en lista de tareas

En este otro ejemplo, hemos añadido una reunión, que puede modificar el comportamiento de una persona en su día a día. Pero esto puede ser mucho más peligroso con el mundo IoT del hogar, como por ejemplo apagar y encender luces, apagar y encender electrodomésticos o... apagar y encender la alarma de casa.

Figura 42: Chucky también puede gestionar tu alarma de seguridad

Esto, podría ser que alguien llegara a la puerta de tu casa y le pidiera a Alexa que apagara la alarma, o que lo hiciera Chucky desde dentro. 

Figura 43: Horizonte 05/10/23 con Iker Jiménez y Carmen Porter 

En la demo que hicimos en directo en el programa de Horizonte (05/10/23) con Iker Jiménez y Carmen Porter lo hicimos con una lámpara, pero el funcionamiento sería similar.

Contramedidas: Machine Learning para detectar voces clonadas

Volviendo a la aproximación del artículo de "Are You talkin' ta me?", donde usamos algoritmos de Machine Learning que analizan los ficheros de audio con una voz (.wav), transformados en un espectograma (imagen) para tener un modelo entrenado, que puede hacer predicción sobre si una voz está clonada o no. Algo que no es perfecto, y que es el juego del gato y el ratón, porque cada día las clonaciones son más perfectas. 

Figura 44: Detección de voz clonada y voz real con ML

Los resultados son muy sensibles al pre-procesado de los ficheros, al ruido en los audios, etcétera, pero en todo caso, da un indicio más sobre el audio de entrada en tus sistema que va a servir para ejecutar un comando emitido por vez en un sistema que ha pasado previamente el filtro de biometría.

Contramedidas: Machine Learning para detectar voces sintéticas

En este caso la idea es distinguir entre si un audio está sonando desde la voz de una persona o si ha sido grabado. Es decir, si por ejemplo un atacante ha generado una voz sintética de alguien en un ordenador y lo está reproduciendo o se está escuchando mientras está realizando una llamada telefónica para engañar a alguien.  

Figura 45: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández.

Para este algoritmo de Machine Learning se necesita un conjunto de datos de entrenamiento  que incluya audios originales y audios que simulen el escenario comentado, como es el dataset FoR (fake-or-real dataset) que incluye en sus datos un dataset diseñado específicamente para esta tarea. 

Figura 46: "Fake or Real" A Dataset for Synthetic Speech Detection

Para simular el escenario comentado, los investigadores reprodujeron audios provenientes del altavoz de un ordenador y los re-grabaron utilizando otro dispositivo con micrófono no profesional, simulando escenario de un atacante. También tienen otro dataset con audios sin ser re-grabados, es decir, audios originales. A partir de estos datos, se utiliza Deep Learning para un problema de clasificación, con el objetivo de distinguir entre audios originales y los re-grabados que simulan escenario de atacante. 

Figura 47: Detección de voces re-gragadas vs originales

No es perfecto y tiene sus limitaciones, y los propios autores comentan en las conclusiones del paper que el dataset que han creado para simular escenarios de atacante no es muy general, ya que solo utilizan un único hablante y un único tipo de dispositivo para la re-grabación, por lo que el modelo entrenado puede que no sea del todo robusto frente a audios provenientes de otras fuentes. Pero evidentemente, es una buena linea de investigación y aproximación a este problema.

Figura 48: El Fary en inglés con su voz clonada

Eso sí, los avances en DeepFakes no paran de avanzar, y como vemos en este vídeo hecho con HeyGen la clonación de una voz tan particular como la de El Fary, para hacerla hablar en inglés traduciendo el contenido de un vídeo se puede hacer en cuestión de unos minutos. Veremos dónde nos lleva el mundo de la Gen-AI aplicada a los Humanos Sintéticos.

¡Saludos Malignos!

***************************************************************************************

- Advanced Persistent ... Toys! [1 de 4] - Antecedentes

- Advanced Persistent ... Toys! [2 de 4] - Making & Working

- Advanced Persistent ... Toys! [3 de 4] - Exploiting

- Advanced Persistent ... Toys! [4 de 4] - Conclusión

***************************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)  

Advanced Persistent ... Toys! : Cómo crear un Chucky "Alonso" [3 de 4] - Exploiting

Llegados a esta parte, toca ver cuál es la arquitectura de software que hemos utilizado, y ver a nuestro querido "Chucky Alonso", como lo bautizaron Iker Jiménez y Carmen Porter para su primera aparición televisiva, en algunos ejemplos de captura de voz, clonación, y explotación de acciones en un entorno concreto con Alexa o Google Home.

Figura 26: Advanced Persistent ... Toys! 

Cómo crear un Chucky "Alonso" [3 de 4] - Exploiting

Lo primero, vistos los requisitos iniciales del proyecto, donde tenemos un "Caballo de Troya Físico" en forma de muñeco diabólico que tiene que conectarse a un C&C, grabar voces, y emitir sonidos, necesitábamos un sistema de comunicación basado en mensajes, así que utilizamos MQTT como Broker de mensajes de comunicación entre el C&C y nuestro Chucky.

Figura 27: Arquitectura de Chucky_as_a_Service

En el dispositivo corríamos el software de Chucky_as_a_Service como un framework en Python, que ya sabéis que es un lenguaje perfecto tanto para el pentesting como para el hacking, así que con él hicimos el framework de nuestro Chucky.

Figura 28: Libros de Python para Pentesters y Hacking con Python
de Daniel Echeverri publicados en 0xWord.

Si te conectas a la Raspberry Pi Zero W, puedes monitorizar el funcionamiento del sistema y revisar el log de acciones que se están llevando a cabo en el muñeco, taly  como podéis ver en la siguiente captura.

Figura 29: Framework de Chucky en Ptyhon corriendo en Raspberry Pi Zero W

El backend, donde ejecutamos los algoritmos de Machine Learning de HuggingFace y los servicios de Speech to text con Whisper, se está ejecutando en Plesk. En él ejecutamos los algoritmos de los que hemos hablado previamente:

• Speech to Text
• Gender Recognition
• Age Estimation
• Sentiment Analysis (Voice Tone & Text)
• Diarization
• Speaker Recognition 

Así, toda la carga de ejecución de algoritmos de Machine Learning recae en el backend, y no en nuestra Raspberry Pi, además de dejar las posibilidades de jugar con los datos obtenidos en el servidor controlado por el atacante.

Figura 30: C&C en Plesk donde se ejecutan los modelos ML

Por último, toda el trabajo de clonación de voces se hace con las APIs de ElevenLabs, que permiten clonar y generar cualquier texto con la voz clonada mediante el uso de los servicios SaaS de la compañía, así que todo se ha generado con sus modelos.

Explotación: Grabación, Diarization, Speaker Recognition y Text to Speech

Ahora, ya vista la arquitectura, podemos ver las demos para ver cómo funciona este proyecto tan curioso. En primer lugar, vamos a ver cómo graba las voces, las sube al servidor y ejecuta los algoritmos de Machine Learning de Speaker Diarization, Speaker Recognition y Voice to Text para poder tener en el panel de control en Plesk lo que se está diciendo cerca de nuestro muñeco diabólico.

Figura 31: Chucky Alonso grabando conversaciones, reconociendo

speakers y transcribiendo la conversación.

Con los audios reconocidos se puede hacer la clonación de las voces, que vamos a ver en la siguiente demostración.

Explotación: Clonación de voz y utilización de voz clonada

En esta demostración, Alvaro Núñez-Romero del equipo de Ideas Locas realiza el proceso de clonación de su voz con el API de ElevenLabs en un minuto, y la utilización de la voz clonada para saltarse la protección de Google Home de Speaker ID utilizando la voz del dueño de la casa que se ha clonado.

Figura 32: Chucky Alonso clonando voz, ejecutando comandos

en Google Home y saltando biometría de voz de Speaker ID

En este caso la arquitectura de componentes que son necesarios para realizar este proceso se pueden ver en el siguiente flujo de acciones que describe qué esta pasando en cada momento.

Figura 33: Flujo del proceso de clonación de voces con ElevenLabs

Y a partir de aquí, se pueden lanzar todos los comandos de exfiltración y ejecución de acciones en los SmartSpeakers del hogar con la voz que se desee, que es la que quedará grabada en los logs de Alexa o Google Home.

Explotación: Ejecución de comandos y grabación de respuesta

Para poder sacar toda la información de un dispositivo, lo primero que necesitamos es tener un control de las respuestas que de el SmartSpeaker, ya que no vamos a estar presentes allí, así que Chucky ejecuta el comando, escucha la respuesta, graba lo respondido por el SmartSpeaker y te lo transcribe.

Figura 34: Chucky Alonso ejecutando comando en Alexa, grabando y transcribiendo respuesta.

En este vídeo tienes un ejemplo de cómo funciona con un comando simple como "Hola", realizado a un Alexa.

Figura 35: Flujo del proceso de emitir un comando y grabar la respuesta

Y en el gráfico anterior tienes el flujo de componentes que son necesarios para realizar la ejecución de un comando y la grabación de la respuesta, así como su transcripción con Whisper.

Explotación: Exfiltración de datos con Alexa

Este ejemplo es uno muy sencillo, donde utilizando los comandos analizados en la parte anterior podemos sacar información de datos asociados a la cuenta de Amazon del dueño de un dispostivo Alexa. En este caso, unas preguntas sencillas de listas para ver qué sale.

Figura 36: Chucky Alonso exfiltrando datos de listas de Alexa

Visto este ejemplo, cualquier pieza de información que Alexa comparta de cualquier cuenta de Amazon asociado al dispositivo, se podría extraer.

Explotación: Exfiltración de datos con Google Home

En este otro ejemplo, el objetivo es realizar lo mismo que en el caso anterior, que es probar la exfiltración de datos de una cuenta de Google asociada a Google Home. La cantidad de información que se puede extraer depende las configuraciones de privacidad y seguridad de Google Home.

Figura 37: Chucky Alonso exfiltrando datos de listas de Google Home

El funcionamiento es muy similar a lo visto con Alexa, así que os podéis imaginar que a partir de este punto cualquier dato al que se tenga acceso, se puede exfiltrar, y utilizando la voz que se quiera.

Aún hay más

Por supuesto, no solo la parte de escuchar es peligroso. No solo que te puedan clonar la voz remotamente es un problema. Tampoco que te puedan sacar información de tus cuentas de Amazon o Google es lo peor. Y es que también pueden hacer acciones a través de tus SmartSpeakers, como Alexa o Google Home, como veremos en la última parte donde terminaremos este artículo.

¡Saludos Malignos!

***************************************************************************************

- Advanced Persistent ... Toys! [1 de 4] - Antecedentes

- Advanced Persistent ... Toys! [2 de 4] - Making & Working

- Advanced Persistent ... Toys! [3 de 4] - Exploiting

- Advanced Persistent ... Toys! [4 de 4] - Conclusión

***************************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)  

Advanced Persistent ... Toys! : Cómo crear un Chucky "Alonso" [2 de 4] - Making & Working

Tras acabar los antecedentes de este proyecto "Codename:Chucky_as_a_Servive", vamos a continuar con la parte que tiene que ver más con los "makers". Al final, la idea de este Advanced Persistent Toy es la de crear un autentico Caballo de Troya en un espacio físico donde hay SmartSpeakers como Alexa o Google Home, así que necesitábamos un buen "caballo de madera", o en este caso un juguete lo suficientemente grande.

Figura 12: Advanced Persistent ... Toys! - Cómo crear un Chucky "Alonso"

[2 de 4] - Making & Working

Nosotros elegimos a Chucky, el muñeco diabólico porque nos parecía muy apropiado para la presentación, y buscamos uno que tuviera unas buenas dimensiones para poder incluirle una placa de control, un módulo de conectividad móvil, y una tarjeta de sonido para escuchar y hablar.

Figura 13: Libros para Makers en 0xWord que deberías tener:

Arduino para Hackes: PoCs & Hacks Just For Fun,

Hacking con Drones: Love is in the air &

Raspberry Pi para Hackers & Makers: PoCs & Hacks Just for Fun.

Y como era un proyecto de "Makers", de esos que nos gusta tanto, pusimos a nuestro querido Alvaro Núñez-Romero del equipo de Ideas Locas a hacer los honores de elegir el hardware y "operar" a nuestro querido muñeco "Chucky", Al final, los componentes elegidos fueron una Raspberry Pi Zero W, una WM8960 Hi-Fi Sound Card Hat y un módulo de comunicaciones GSM/GPRS/GNSS/BT Hat que teníamos a mano, pero puedes usar una Waveshare 4G/3G/2G/GSM/GPRS/GNSS Hat for Raspberry Pi 4 Jetson Nano Based on SIM7600E-H Supports LTE CAT4 for Downlink Data Transfer para tener 4G.

Figura 14: Hardware para hacer el proyecto

Como el objetivo era hacer una de nuestras PoCs & Hacks Just For Fun con Raspberry Pi, aprovechamos el espacio que traía la electrónica del propio muñeco de Chucky y metimos una batería externa que alimentara el equipamiento.

Figura 15: Esquema de conexión del HW de Chucky_as_a_Service

El esquema de conexión es muy sencillo, y hay que tener en cuenta que hay que conectarle los altavoces y y micrófono para que nuestro muñeco diabólico pueda escuchar la voz de las personas que se va a clonar, además de reproducir los comandos de voz que se envían desde el C&C cuando no hay nadie en casa.

Figura 16: "Operación HW" de Chucky

Si esto se convirtiera en un APT de verdad para una compañía, habría que buscar una solución con acceso a energía permanente, ya sea por medio de que sea un dispositivo siempre conectado, o porque tenga una recarga constante tipo la Roomba. 

Figura 17: Otras CPU para hacer tu proyecto

Para nosotros era suficiente, pero podrías elegir otro muñeco, otro dispositivo y otro hardware para hacer el tuyo propio, con CPUs más pequeñas, y meterlas en otros muñecos menos "sospechosos" que nuestro muñeco diabólico.

Figura 18: Elige el mejor muñeco para meter tu "Chucky"

Una vez terminada la parte del hardware hay que pasar a la parte del software. Para eso, vamos a repasar los objetivos del proyecto, que nos llevarán a una arquitectura concreta para poder hacerlo de la mejor manera posible

Objetivos del Proyecto Chucky_as_a_Service

Vamos a describir las partes fundamentales del proyecto, y luego vemos las piezas de la arquitectura software que hemos construido, y las demos de Chucky_as_a_Service funcionando.

• Escuchar voces de personas que hablan en casa: Para ello no solo las oye, sino que las graba, y luego con algoritmos de Machine Learning las clasifica utilizando algoritmos de comparación de voces, y de diariazación en el caso de que haya más de una voz en una grabación, además de los algoritmos de Machine Learning para el reconocimiento de texto, análisis de sentimiento, edad y género de cada speaker para dar más información.

Figura 19: pyannote.audio/speaker-diarization en Hugging Face

•  C&C en SasS: Cada muñeco Chucky envía sus audios a su panel de control en la nube. Todos los audios se suben a la nube donde se ejecutan los algoritmos de Machine Learning para diarizar los ficheros de audio, para reconocer a los speakers, y para, como no, clonar las voces utilizando un API de ElevenLabs.

Figura 20: C&C de Chucky as a Service

• Ejecución de comandos de voz: Con la voz clonada elegida se ejecutan comandos de voz desde el muñeco, para poder controlar los SmartSpeakers del hogar.

Figura 21: Alexa Voice ID

• Bypass de protección de reconocimiento de voz "Voiceprinting": Tanto el utilizado por Alexa - que se llama Alexa Voice ID -, como el de Google Home - llamado Speaker ID -: Para ello, se utilizan servicios de Text-To-Speech desde el APT y el API de ElevenLabs para conseguir el audio con el texto, el tono y la voz elegida para lanzar el comando.

Figura 22: Google Cloud Speaker ID

• Ejecución de Payloads: Una vez que tienes el el muñeco en el entorno físico objetivo, y ya se ha clonado la voz, solo debe esperarse a que no haya nadie en el hogar, algo que se puede hacer o bien analizando el ruido en el hogar, o las perturbaciones en la señal WiFi, y ejecutar comandos de voz para Alexa o Google Home que permitan tanto extraer información como ejecutar acciones en el dispositivo del hogar. 

Figura 23: Chucky_as_a_Service Payloads

Para ello, hemos probado una lista de ellos con Google Home, Alexa y Siri, y en las configuraciones por defecto estos son los resultados obtenidos. De la parte de Siri, teníamos mucho hecho del libro de "Hacking iOS: iPhone & iPad (2ª Edición)" y de cuando nos dio por la locura de  Klingonizar un iPhone con comandos de voz.

Figura 24: Libro de Hacking iOS:iPhone & iPad (2ª Edición) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

 

• Se escuchan las respuestas y se suben al C&C: Por supuesto, después de ejecutar un comando con el SmartSpeaker, se escuchan las repuestas y se suben al panel de Control para que se puedan escuchar y transcribir el texto obtenido.

Figura 25: Exfiltración de la agenda de actividades en el C&C

Y hasta aquí esta segunda parte, en la siguiente veremos la arquitectura software y al muñeco diabólico haciendo de las suyas. 

¡Saludos Malignos!

***************************************************************************************

- Advanced Persistent ... Toys! [1 de 4] - Antecedentes

- Advanced Persistent ... Toys! [2 de 4] - Making & Working

- Advanced Persistent ... Toys! [3 de 4] - Exploiting

- Advanced Persistent ... Toys! [4 de 4] - Conclusión

***************************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)  

Advanced Persistent ... Toys! : Cómo crear un Chucky "Alonso" [1 de 4] - Antecedentes

La semana pasada sacamos a la luz el proyecto Codename: Chucky_as_a_Service del equipo de Ideas Locas con el que llevamos trabajando desde la pasada RootedCON, donde hablamos de las DeepFakes de Audio y los esquemas de ciberseguridad que se abrían con la evolución tan exponencial de la calidad de éstas en el año 2022. Por supuesto, en 2023 esto ha sido aún mayor, y por eso comenzamos a trabajar en este muñeco diabólico que controla tu voz clonando tu voz y controlando tus SmartSpeakers cuando tú no estas.

Figura 1: Advanced Persistent ... Toys! : Cómo crear un Chucky "Alonso"

[1 de 4] - Antecedentes

La presentación la hicimos por primera vez en la pasada Navaja Negra de Albacete, donde además de tratarnos de maravilla como siempre, entregaron a todos los asistentes 100 Tempos de MyPublicInbox que tienen en su wallet nada más iniciar sesión, por si querían luego preguntarnos sobre este proyecto en concreto en nuestro buzón de Ideas Locas.

Figura 2: Contactar con el equipo de Ideas Locas en MyPublicInbox

Antes de comenzar a desgranar la parte dedicada al proyecto Codename: Chucky_as_a_Service, que luego Iker Jiménez y Carmen Porter bautizaron en su programa como "Chucky Alonso", en la presentación comencé haciendo un recorrido del camino que hemos seguido hasta llegar aquí. Nada es fruto de un día, sino de un camino de muchos años jugando y haciendo cosas en este mundo. Este camino que nosotros hemos seguido, lo puedes seguir en varios artículos y conferencias que merece la pena que te leas y veas antes. Vamos con ellos.

Antecedentes: Cognitive Services, Autoencoders, FaceSwapping, GANs, DeepFakes, Machine Leraning, Audio, Blade Runners & Humanos Sintéticos

Fue en el año 2018, viendo la evolución de la Inteligencia Artificial, cuando comenzamos a hacer las primeras DeepFakes usando GANs y algoritmos de FaceSwapping, algo que preparamos en una burda prueba de concepto para la charla de Security Innovation Day 2018 donde hablamos de Corporate Fake News APT, una charla que podéis ver aquí.

Figura 3: Charla de Corporate APT with Fake News en SID 2018

El año siguiente construimos la primera GAN que me creaba a mí en tiempo real, utilizando Autoeconders, una demo que preparamos para RootedCON 2019 y el Security Innovation Day 2019, y que usé en la keynote de apertura del evento en mi charla, podéis verlo aquí. 

Figura 4: Chema Alonso en el Security Innovation Day 2019

La idea era tan sencilla como que alguien podía manejar un modelo de IA que me recreaba en tiempo real como podéis ver en este vídeo en el que Enrique Blanco me controla.

Figura 5: Demo de Enrique Blanco generando vídeo de Chema Alonso

Y esto nos llevó a meternos en mucha profundidad con las tecnologías de los DeepFakes, los humanos sintéticos y las técnicas de detección, algo de lo que hablé en el artículo Blade Runners & Virtual Replicants con DeepFakes y que impartí en la OpenExpo Europe en el año 2021 (en plena pandemia).

Figura 6: BladeRunners & Virtual Replicants con DeepFakes

Jugar con los Cognitive Services y la Inteligencia Artificial se convirtió en nuestro día a día, y a principios del año, en la RootedCON 2022, presentamos lo que estábamos haciendo en la charla de Cognitive Services & Ciber Seguridad, donde además metíamos trabajos de Ciberseguridad y Machine Learning como los que recogimos en el libro de 0xWord dedicado a este tema.

Figura 7: Libro de Machine Learning aplicado a Ciberseguridad de
Carmen Torrano, Fran Ramírez, Paloma Recuero, José Torres y Santiago Hernández

En ella explicábamos casos de uso de cómo crear servicios de ciberseguridad basados en Cognitive Services y al mismo tiempo cómo, con los estos mismos Cognitive Services, hackear un Tesla o la vida digital de una persona, bastaba con poner pegatinas a una señal de tráfico y romper el Cognitive Service de Visión Artificial o usar el Cognitive Service de Alexa o Siri para simplemente hablar con ellos y conseguir lo que quieres.

Figura 8: Cognitive Services & Cyber Security: Ideas Locas en RootedCON 2022

En el año 2022, seguimos avanzando el mundo de las DeepFakes, pero sobre todo en la parte de las técnicas de detección. Durante ese año recopilamos todas las investigaciones posibles para detección de DeepFakes y acabamos con una herramienta que presentamos en la Hackron 2023 que es nuestro CodeName: Test Voigh-Kampff, que podéis ver en este vídeo.

Figura 9: Demo del Test de Voight-Kampff con DeepFakes

Y esto nos lleva a la charla de RootedCON 2023 donde nos metimos de lleno con la voz, con la Clonación de voces en Español, el uso de algoritmos de Machine Learning para analizar voces, y el análisis de los audios que hay en Alexa o Google Assistant. Una charla que de este mismo año y ya explicaba cómo era posible saltarse la biometría de voz de en bancos que la usen como 2FA, así como técnicas para detectar voces clonadas o emitidas desde altavoces electrónicos.

Figura 10: DeepFake + Voz Clonada + Lips Sync

Y llegados a este punto comenzamos a trabajar en el proyecto Codename: Chucky_as_a_Service con la premisa de... "y si metemos una Raspberry Pi o un Arduino dentro de un muñeco diabólico que te escuche en casa, te clone la voz, y una vez que no estés en tu casa te controle la vida hablando con tu Alexa o Google Home".... " ¿Tú crees que funcionará? No sé, es una locura, pero puede molar... ¿nos ponemos a ello?...

Figura 11: Chucky "Alonso" en su aparición

televisiva con Iker Jiménez y Carmen Porter

Pero eso os lo empiezo a contar ya en la segunda parte de este artículo, que no va a ser muy largo, pero espero que os anime a jugar con estas tecnologías.

¡Saludos Malignos!

***************************************************************************************

- Advanced Persistent ... Toys! [1 de 4] - Antecedentes

- Advanced Persistent ... Toys! [2 de 4] - Making & Working

- Advanced Persistent ... Toys! [3 de 4] - Exploiting

- Advanced Persistent ... Toys! [4 de 4] - Conclusión

***************************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (5 de 6)

En esta quinta vamos a dejar casi terminada esta serie de Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz con los últimos ejemplos, de estos scripts de exfiltración hechos en VOWEL. En la última parte os dejaré ya el material final para que todo lo que hemos hecho esté a vuestra disposición por si queréis hacer algo vosotros u aportar alguna modificación o scripts. Ahora, vamos a ver las demos finales.

Figura 38: Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (5 de 6)

En la parte anterior habíamos visto algunos scripts en VOWEL de exfilración de datos del terminal usando Klingon, y hoy quería terminar con dos ejemplos que son especialmente importantes en la seguridad de las identidades de Internet, como son capturar el 2FA que se envía tanto por SMS, como por e-mail, utilizando un script de Control de Voz que use todas las capacidades que tenemos en el terminal iPhone para ello.

Figura 39: Enviar el último e-mail a una dirección pre-establecida en iOS13

En este primer ejemplo, hecho sobre un dispositivo iPhone con iOS 13, vemos que para enviar el último e-mail hemos utilizando cuatro acciones asociadas a cuatro comandos de voz en Klingon. La frase en idioma Klingon que hemos utilizado para este ejemplo es: “Chenmoh Ghos Chut Naccha”, donde usamos en Chenmoh un atajo para abrir el correo electrónico, Ghos  solo para hacer el clic en ejecutar la aplicación del e-mail, Chut para recuperar último correo electrónico y Nachha para terminar la acción.

Figura 40: Enviar el último e-mail a una direccióin pre-establecidad en iOS 14

Para hacer lo mismo en un dispositivo iPhone pero con la versión iOS 14, como se puede ver en el vídeo anterior, necesitamos hacer un clic o un tap menos, así que se puede prescindir de Ghos en la acción completa, pero el funcionamiento es exactamente el mismo. Si en ese correo electrónico se hubiera recibido un link de recuperación de contraseña, un código OTP de verificación de 2FA o un enlace de click-to-login, se podría haber robado perfectamente el mensaje, y por tanto la identidad que estaba protegiendo ese correo electrónico.

Este mismo trabajo de exfiltración se puede hacer con los mensajes SMS - o iMessage si se desease -, y la frase en Klingon que hemos utilizado para hacer la demo es: “Wogh Talgan Chenmoh Yuqq Human”, que como podéis ir viendo en el vídeo, hace las diferentes acciones para robar el mensaje SMS con un OTP de una identidad de Microsoft.

Figura 41: Envío del último SMS con Klingon

En los ejemplos anteriores hemos utilizado en todos ellos los "Atajos de Teclado" que como recordáis es una combinación de caracteres que sustituye a una cadena más larga, en nuestro caso, los que hemos usado son solo el de la dirección de correo electrónico de exfiltración, y uno para la dirección de un destino en Apple Maps que usamos en una demo anterior.

Figura 42: Atajos de teclado usados en las demos

Estos ejemplos de exfiltración de correos electrónicos y mensajes SMS sirven para hacer, como ya hemos dicho, casos de robos de identidades, de forma muy similar a cómo se hacía el robo de cuentas de correo electrónico utilizando el "truco de bar" con Siri, en este caso aún mucho más peligroso, porque se podía hacer con el terminal totalmente bloqueado, como podéis ver en este ejemplo que hice hace mucho tiempo.

Figura 43: El truco de bar con Siri para robar cuentas de Gmail y Office365

Todos estos ejercicios, como hemos podido ver, sirven para dejar un terminal totalmente configurado para controlarlo con Klingon en cualquier momento, pero para nosotros ya era un reto recordar todas las acciones y comandos que habíamos construido, así que una buena idea si quieres probar esto por ti mismo, es que grabes los comandos una vez y los tengas guardado en la grabadora, como lo teníamos nosotros.

Figura 44: Comandos de voz grabados en grabadora de mensajes

Utilizar estos comandos, una vez que los tienes en la grabadora de mensajes, es tan fácil como darle al play delante de un terminal iPhone troyanizado con Comandos de Voz en Klingon y ver cómo se van ejecutando uno a uno. Muy sencillo. En la imagen siguiente se ve a un iPad lanzando los scripts de exfiltración a un iPhone troyanizado.

Figura 45: iPad controlando a un iPhone Troyanizado

Nos queda muy poco para terminar esta serie, que esperamos sobre todo que os haya entretenido y os haga tener en mente estas posibilidades para hacer cosas nuevas, que seguro que se os ocurren cosas que hacer para enriquecer este en el futuro. Os guardamos una demo sorpresa para la parte final.

Saludos Malignos!

*********************************************************************

- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (1 de 6)

- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (2 de 6)

- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (3 de 6)

- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (4 de 6)

- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (5 de 6)

- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (6 de 6)

*********************************************************************

Autor:

Chema Alonso (Contactar con Chema Alonso) (Consigue 100 Tempos gratis con ESET)

Chema Alonso en MyPublicInbox

Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (4 de 6)

Llegados a este punto del artículo, nos toca ver las primeras pruebas que hicimos con nuestra codificación VOWEL (Voice Orders for Weaponizing Exiltration Languaje). Son solo algunos ejemplos que muestran el tipo de cosas que se pueden hacer si alguien te "configura" el tu terminal iPhone y te lo deja "programado" con estos scripts para luego controlarlo con comandos de voz. Todos ellos, pensados para demostrar cómo te puede afectar a la seguridad y privacidad personal de tu vida, y para que tengas vigilado y controlado esto.

Figura 29: Cómo "Klingonizar" un iPhone y tenerlo

troyanizado con Control de Voz (4 de 6)

En este primer ejemplo lo que vamos a hacer es que se envíe la última conversación de WhatsApp completa exportada en fichero tipo TXT a una dirección de correo electrónico previamente establecida. Esta es una de las primeras pruebas que hicimos y no está aprovechando todas las características que hemos visto en las partes anteriores, pero nos sirve para ejemplarizar que se puede hacer prácticamente cualquier cosa. 

Enviar la última conversación de WhatsApp a un e-mail concreto

En este caso, hicimos una programación tecleando la dirección de correo electrónico letra a letra, lo que llevó a que fuera más largo. Además, no usamos Klingon, que estábamos probando si funcionaba, así que quedó un poco largo. Esta es la secuencia de comandos.

Figura 30: Comandos de voz para exfilrar una conversación de WhatsApp

Y el resultado de esta prueba funcionando en un iOS 13 es la que podéis ver en el siguiente vídeo en el que se puede ver cómo se van ejecutando uno a uno los comandos de voz marcados en amarillo en la figura anterior.

Figura 31: Exfiltración de último chat de WhatsApp con comandos de voz

Una vez que se puede comprobar cómo es posible con comandos de voz de Gestos Personalizados hacer esa exfiltración, lo siguiente es utilizar los atajos de teclado para que sea más fácil escribir la dirección de correo electrónico de exfiltración, y aplicar el idioma Klingon. El ejemplo se puede ver en este vídeo en el que hacemos exactamente la misma exfiltración, pero en menos pasos, utilizando un atajo de teclado y con comandos Klingon.

Figura 32: Exfiltración de último chat de WhatsApp usando Klingon

Como puedes ver, en este caso el sistema operativo es iOS 14, y la lista de comandos que se dicen, por si no sabes Klingon son: “Ghun Much MaSl Nachha Malja” que como ves son bien entendidos por el sistema operativo de iPhone. Vistos estos ejemplos, el límite lo pones tú.

Figura 33: Comandos de Voz para Gestos Personalizados

Como al final se pueden reutilizar partes de los gestos personalizados entre unos y otros scripts hechos en VOWEL, hicimos varios comandos de voz en Klingon que fuimos extendiendo y reutilizando para diferentes tareas, como son los siguientes:

• Ghot: Abrir Fotos
• MaSll: Exportar por e-mail
• Makja´: Enviar sin asunto
• BachHa’: Abrir Apple Maps
• Ghun: Abrir Whatsapp
• Naccha: Última imagen
• Quell: Ejecuta ir en Apple Maps

Esto nos permite reutilizarlos y crear diferentes programas de exfiltración y control. Por ejemplo, para evitar que se cierre la sesión utilizando el truco de usar Maps que vimos en la Figura 18, en iOS 13 sería con un paso más, en concreto "BachHa' Ghot Quell", como podemos ver en la demo que tienes en este vídeo.

Figura 34: Evitar el cierre de sesión en iOS 13

Otro ejemplo de exfiltración que se puede construir es el de enviar por e-mail la última fotografía del carrete tomada, que construimos con los siguientes comandos en Klingon: 

• Primero usamos "Ghot" que es el comando de voz de “Abrir Fotos”.
• Luego usamos "Ghet" para seleccionar la opción de "enviar".
• Después "Nachha"  para seleccionar la última imagen.
• Acabamos con  "chlm" que realiza el proceso de enviarla por e-mail usando el atajo de teclado que hemos creado antes.

Figura 35: Enviar por e-mail la última foto del carrete usando Klingon

Esto se puede automatizar y mejorar mucho. Tened en cuenta que estos ejemplos son solo pruebas de concepto de las posibilidades que ofrecen estas opciones en iOS para crear todo tipo de scripts de exfiltración. Por ejemplo, cuando analizamos las posibilidades del uso de Atajos con Workflow en la segunda parte de este artículo, vimos que algunas acciones exigían la interacción manual.

Pues bien, utilizando Workflow para definir acciones complejas e invocarlo con un comando de voz, y añadir después un comando de voz para hacer el Gesto Personalizado que haga el "tap" en la parte donde se requiere interacción humana, podemos hacer mejoras como enviar las últimas tres fotografías de una manera mucho más sencilla, como vemos en este vídeo donde el "clic" o "tap" final se hace usando Klingon.

Figura 36: Enviar las tres últimas fotos

Llegados a este punto, se puede jugar con muchos tiempos de scripts que afecten a la seguridad, además de la privacidad de las personas que tengan un terminal iPhone con iOS "troyanizado" con estos scripts, ya que esto puede ser una forma más de hacerle un hacking a dispositivos iOS tanto para iPhone como para iPad. Se pueden hacer, como veremos en la siguiente parte, algunos para automatizar el robo de los tokens de 2FA (Second Factor Authentication) que vengan por SMS, o robar los enlaces que se envíen en correos electrónicos de confirmación recibiendo el últimos mensaje de la bandeja de entrada o cualquier script que se te ocurra.

Figura 37: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Al final, si dejas el terminal configurado con todos scripts que alguien podría requerir hacer como si tuviera el terminal en la mano, será exactamente como eso, como si tuvieras el terminal en la mano, que para eso se han creado todas estas opciones que, no olvidemos, son de accesibilidad para hacer la tecnología más usable a través de la voz. Veremos en la siguiente parte unos ejemplos más de lo que se puede construir para luego ver cómo controlar todos los comandos y terminar con algunas recomendaciones y aprendizajes de este trabajo.

Saludos Malignos!

*********************************************************************

- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (1 de 6)

- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (2 de 6)

- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (3 de 6)

- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (4 de 6)

- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (5 de 6)

- Cómo "Klingonizar" un iPhone y tenerlo troyanizado con Control de Voz (6 de 6)

*********************************************************************

Autor:

Chema Alonso (Contactar con Chema Alonso) (Consigue 100 Tempos gratis con ESET)

Chema Alonso en MyPublicInbox