Hack Bluetooth afecta a 20 millones de dispositivos Amazon Echo y Google Home

November 17, 2017

Recuerde BlueBorne?

 

 

Recientemente se han descubierto una serie de defectos críticos de Bluetooth recientemente divulgados que afectan a miles de millones de dispositivos Android, iOS, Windows y Linux en millones de asistentes personales activados por voz basados ​​en inteligencia artificial, como Google Home y Amazon Echo .

Tal como se estimó durante el descubrimiento de esta devastadora amenaza, varios IoT y dispositivos inteligentes cuyos sistemas operativos a menudo se actualizan con menos frecuencia que los teléfonos inteligentes y los equipos de escritorio también son vulnerables a BlueBorne.

BlueBorne es el nombre dado al ataque sofisticado que explota un total de ocho vulnerabilidades de implementación de Bluetooth que permiten a los atacantes dentro del alcance de los dispositivos objetivo ejecutar código malicioso, robar información confidencial, tomar el control completo y lanzar ataques de hombre en el medio .


¿Que es peor? La activación del exploit BlueBorne no requiere que las víctimas hagan clic en ningún enlace ni abran ningún archivo, todo sin requerir la interacción del usuario. Además, la mayoría de los productos de seguridad probablemente no puedan detectar el ataque.

Lo que es aún más aterrador es que una vez que un atacante obtiene el control de un dispositivo habilitado para Bluetooth, puede infectar a cualquiera o todos los dispositivos en la misma red.

Estas vulnerabilidades Bluetooth fueron corregidas por Google para Android en septiembre, Microsoft para Windows en julio, Apple para iOS un año antes de la divulgación, y las distribuciones de Linux también poco después de la divulgación.

Sin embargo, muchos de estos 5 mil millones de dispositivos aún no están parcheados y están abiertos a ataques a través de estos defectos.

 

20 millones de Amazon Echo y dispositivos domésticos de Google son vulnerables a los ataques BlueBorne
 
 
 

La firma de seguridad de IoT, Armis, quien inicialmente descubrió este problema, ahora ha revelado que aproximadamente 20 millones de dispositivos Amazon Echo y Google Home también son vulnerables a los ataques que aprovechan las vulnerabilidades de BlueBorne.

Si me divierto, alrededor de 15 millones de Amazon Echo y 5 millones de dispositivos Google Home vendidos en todo el mundo corren el riesgo potencial de BlueBorne.


Amazon Echo se ve afectado por las siguientes dos vulnerabilidades:

 

  • Una vulnerabilidad de ejecución remota de código en el kernel de Linux (CVE-2017-1000251)

  • Una falla de divulgación de información en el servidor SDP (CVE-2017-1000250)

Como las diferentes variantes de Echo utilizan diferentes sistemas operativos, otros dispositivos Echo se ven afectados por las vulnerabilidades encontradas en Linux o Android.

Mientras que los dispositivos Google Home se ven afectados por una vulnerabilidad:

  • Vulnerabilidad de divulgación de información en la pila Bluetooth de Android (CVE-2017-0785)

Esta falla de Android también se puede aprovechar para causar una condición de denegación de servicio (DoS).

Como Bluetooth no se puede desactivar en ninguno de los asistentes personales activados por voz, los atacantes dentro del alcance del dispositivo afectado pueden lanzar un ataque fácilmente.

Armis también ha publicado un video de prueba de concepto (PoC) que muestra cómo pudieron hackear y manipular un dispositivo Amazon Echo.

La firma de seguridad notificó a Amazon y Google sobre sus hallazgos, y ambas compañías han lanzado parches y emitido actualizaciones automáticas para Amazon Echo y Google Home que corrige los ataques BlueBorne.

Los clientes de Amazon Echo deben confirmar que su dispositivo se está ejecutando v591448720 o posterior, mientras que Google aún no ha hecho ninguna información con respecto a su versión.

 

Fuente: https://thehackernews.com/2017/11/amazon-alexa-hacking-bluetooth.html

Share on Facebook
Share on Twitter
Please reload

Please reload

Otras Noticias 

  • Black Facebook Icon
  • Black LinkedIn Icon

© Hack&Secure s.a.s