Los hackers emplearon Google Home y Amazon Alexa para espiar y registrar contraseñas
Inicie una discusión sobre las implicaciones de privacidad de poseer un altavoz inteligente como Alexa de Amazon o Home de Google, y es probable que vea dos grupos bien definidos de personas casi de inmediato. El primero argumentará que los altavoces inteligentes son básicamente escuchas telefónicas conectadas a Internet que se pueden usar para espiarnos y, por lo tanto, deben mantenerse lo más lejos posible de nuestros hogares. El otro grupo les dirá a los escépticos que guarden sus sombreros de papel de aluminio y disfruten de la comodidad de los dispositivos de Internet de las Cosas (IoT) de alta tecnología.
El hecho de que Amazon y Google hayan vendido millones de dispositivos de asistencia domiciliaria muestra que hay más fanáticos de altavoces inteligentes que oponentes. Sin embargo, los propietarios de Amazon Alexa y Google Home pueden querer tener un poco más de cuidado con su optimismo, porque hace un par de días, expertos de SRLabs publicaron un informe que muestra que en este caso particular, las teorías de conspiración podrían no estar tan lejos. traído
Fuera de la caja, los altavoces inteligentes vienen con bastantes características útiles, especialmente si las conecta a otros dispositivos IoT. Sin embargo, la funcionalidad de los asistentes domésticos se puede ampliar aún más con la ayuda de aplicaciones (o habilidades) de terceros, y como ya habrás adivinado, los investigadores de SRLabs encontraron no una, sino dos formas de abusar de estas aplicaciones de terceros.
Table of Contents
Las habilidades maliciosas de los oradores inteligentes pueden robar las credenciales de inicio de sesión de los usuarios
El primero de los dos ataques comienza cuando el usuario le pide a Alexa o Google Home que busque su horóscopo utilizando una habilidad desarrollada por los investigadores. Sin embargo, en lugar de leer el horóscopo, la aplicación devuelve un mensaje de error que dice que el servicio no está disponible en este país. Después de aproximadamente un minuto de silencio, el altavoz inteligente de repente anuncia que hay una actualización de seguridad disponible y que su instalación requiere la contraseña del usuario.
En realidad, no hay actualización, y toda la operación está diseñada para robar las credenciales de inicio de sesión de las personas. Después del mensaje de error, la aplicación de horóscopo malicioso alimenta el motor de texto a voz del hablante inteligente con una cadena de caracteres impronunciable: "�." (U + D801, punto y un espacio) que mantiene al asistente en silencio durante un período predeterminado de tiempo. Esto se hace para engañar a las personas para que piensen que la aplicación se ha cerrado, lo cual es esencial si van a creer que una actualización realmente está pendiente. A partir de entonces, el éxito del ataque de phishing depende de si el usuario no es consciente del hecho de que un orador inteligente nunca solicitará una contraseña de esa manera. En el segundo ataque de SRLabs, la comprensión del usuario de cómo funcionan estos dispositivos juega un papel más pequeño.
Los altavoces inteligentes se pueden convertir en escuchas telefónicas
En este caso, la estrategia para Amazon Alexa y Google Home fue ligeramente diferente, pero el objetivo era idéntico: espiar sigilosamente a los usuarios.
Para Alexa, los investigadores desarrollaron otra aplicación de horóscopo que en realidad puede leer el horóscopo. El atacante espera que a la mitad de la explicación de la influencia de Mercurio en nuestras vidas personales, el usuario se canse y emita un comando "Detener". La aplicación aparentemente cumple, y Alexa incluso dice "Adiós". Sin embargo, como habrás adivinado, la aplicación no se ha cerrado realmente. Usando la misma cuerda impronunciable (�.), Los investigadores silencian el altavoz inteligente, y la aplicación del horóscopo malicioso está esperando escuchar cualquier discurso reconocible. Todo lo que registra se envía al atacante.
Con Google Home, SRLabs creó una aplicación generadora de números aleatorios que hizo lo que se esperaba de ella. Después de generar el número, la aplicación también dice "Adiós", y se engaña al usuario para que piense que se ha cerrado. En realidad, la sesión permanece abierta, y la aplicación espera para ver si se dirá algo durante un período de tiempo preestablecido. Si escucha algo, lo graba y lo envía al atacante. Preocupantemente, los investigadores dijeron que, en las circunstancias adecuadas, el período de espionaje puede extenderse indefinidamente.
Google y Amazon no han hecho lo suficiente para examinar las aplicaciones de altavoces inteligentes
La intención de SRLabs no era solo mostrarles a todos cómo pueden ser phishing y espiados en teoría. Querían ver qué tan prácticos podrían ser estos ataques, razón por la cual las habilidades de horóscopo y generador de números aleatorios realmente aparecieron en las tiendas de aplicaciones de Google y Amazon.
Pasaron por una verificación antes de ser publicados, pero los investigadores se dieron cuenta de que una vez que las aplicaciones estaban disponibles, Google y Amazon no hacen nada para revisar las nuevas funciones y actualizaciones. SRLabs inicialmente publicó aplicaciones que eran completamente benignas y luego agregó los componentes maliciosos sin ningún problema.
Tanto Amazon como Google han prometido que sus procesos de investigación de antecedentes se actualizarán, y solo podemos esperar que este sea el caso porque está bastante claro que el software de terceros no se revisa tan bien como debería, especialmente teniendo en cuenta el hecho de que Los dispositivos que está operando tienen micrófonos que nos rodean en lo que debería ser la privacidad de nuestros hogares.
