Amazon Alexa tiene algunas habilidades serias: ¡espiar a los usuarios!

April 27, 2018

 

"Alexa, ¿me estás espiando?" - aaaa ..... mmmm ..... hmmm ..... tal vez !!!

Los investigadores de seguridad han desarrollado una nueva "habilidad" maliciosa para la popular asistente de voz de Amazon, Alexa, que puede convertir su Amazon Echo en un dispositivo de espionaje completo.

Amazon Echo es un hablante hogareño inteligente que siempre está escuchando y activado por voz, que le permite hacer cosas usando su voz, como reproducir música, configurar alarmas y responder preguntas.

Sin embargo, el dispositivo no permanece activado todo el tiempo; en cambio, duerme hasta que el usuario dice "Alexa" y, de forma predeterminada, finaliza una sesión después de cierta duración.


Amazon también permite a los desarrolladores crear aplicaciones personalizadas para "habilidades" para Alexa, que es el cerebro detrás de millones de dispositivos inteligentes activados por voz, incluidos Amazon Echo Show, Echo Dot y Amazon Tap.

Sin embargo, los investigadores de seguridad de la firma de seguridad cibernética Checkmarx crearon una "habilidad" de prueba de concepto para Alexa que obliga al dispositivo a grabar indefinidamente la voz envolvente para espiar secretamente las conversaciones de los usuarios y luego enviar las transcripciones completas a un tercero sitio web.

 

 
Disfrazado como una simple calculadora para resolver problemas matemáticos, la habilidad maliciosa, si está instalada, se activa inmediatamente en segundo plano después de que un usuario dice "Alexa, abre la calculadora".

 

"La habilidad de la calculadora se inicializa, y la API \ Lambda-función que está asociada con la habilidad recibe una solicitud de lanzamiento como entrada", dijeron los investigadores en su informe .

En una demostración en video, los investigadores muestran que cuando un usuario abre una sesión con la aplicación de la calculadora (en segundo plano), también crea una segunda sesión sin indicar verbalmente al usuario que el micrófono aún está activo.


Por diseño, Alexa debería finalizar una sesión o solicitar al usuario otro comando para mantener la sesión abierta. Sin embargo, el hack podría permitir a los atacantes mantener activa la segunda sesión para espiar a los usuarios mientras termina la primera cuando la interacción del usuario se desborde.

Afortunadamente, aún puedes ver al espía con las manos en la masa si notas que la luz azul en tu dispositivo Echo está activada por un período más largo, especialmente cuando no estás charlando con él.

Checkmarx reportó el problema a Amazon, y la compañía ya ha abordado el problema escaneando periódicamente en busca de habilidades maliciosas que "mensajes silenciosos o que escuchan durante períodos inusuales de tiempo" y expulsándolos de su tienda oficial.

No es el primer hack de Alexa demostrado por los investigadores. El año pasado, un grupo separado de investigadores en MWR InfoSecurity mostró cómo los hackers podían convertir algunos modelos de Amazon Echo en el dispositivo de escucha encubierto .

 

Fuente: https://thehackernews.com/2018/04/amazon-alexa-hacking-skill.html

Share on Facebook
Share on Twitter
Please reload

Please reload

Otras Noticias 

  • Black Facebook Icon
  • Black LinkedIn Icon

© Hack&Secure s.a.s