Sabíamos que Google y Amazon escuchaban a sus usuarios a través de sus altavoces inteligentes Echo y Home activados por voz. Sin embargo, un grupo de investigadores de seguridad ahora ha demostrado cómo las aplicaciones de terceros pueden espiar fácilmente a los usuarios y la información confidencial de phishing de voz como las contraseñas.
Investigadores en Alemania SRLabs Encontró dos escenarios de piratería (espionaje y phishing) para dispositivos Amazon Alexa y Google Home / Nest. Crearon ocho aplicaciones de voz (Skills for Alexa y Actions for Google Home) para demostrar los trucos que convierten a estos parlantes inteligentes en espías inteligentes. Las aplicaciones de voz maliciosas creadas por SRLabs pasaron fácilmente a través de los procesos de detección individuales de Amazon y Google.
Se utilizaron diferentes enfoques para espiar a los usuarios de Amazon Alexa y Google Home y para robarles información. Los investigadores pudieron cambiar la funcionalidad de las habilidades y acciones que crearon para piratear después de que Amazon y Google aprobaran las aplicaciones. No hubo una segunda ronda de revisiones después de que se hicieron los cambios mencionados.
Contraseñas de phishing de voz en altavoces Amazon Echo y Google Home
En el siguiente video, puede ver cómo los usuarios le piden a Alexa que inicie una habilidad llamada My Lucky Horoscope. Esta es una habilidad maliciosa de Alexa creada y modificada por SRLabs para phishing para contraseñas.
La aplicación no da un mensaje de bienvenida y, en cambio, responde diciendo: «Esta habilidad no está disponible actualmente en su país». En este punto, un usuario supondría que la aplicación ha dejado de escuchar, pero realmente no lo ha hecho. En cambio, la habilidad ha sido pirateada para decir una secuencia de caracteres que Alexa no puede pronunciar, por lo tanto, el hablante permanece en silencio cuando está realmente en pausa y escuchando.
Luego, la habilidad reproduce un mensaje de suplantación de identidad que dice: «Hay una nueva actualización disponible para su dispositivo Alexa. Por favor, diga comenzar, seguido de su contraseña ”. Si bien Amazon nunca solicita contraseñas de esta manera, los usuarios que desconocen pueden ser tomados por sorpresa.
Se utilizó un enfoque similar para las contraseñas de phishing de voz en un altavoz Google Home Mini.
Escuchar a los usuarios a través de los altavoces de Amazon Echo y Google Home
Para escuchar a escondidas, los investigadores utilizaron la misma aplicación de horóscopo para el altavoz inteligente de Amazon. La aplicación engaña al usuario haciéndole creer que se ha detenido mientras escucha en silencio en segundo plano.
Para Google Home, el hack fue aún más fácil y no hubo necesidad de especificar palabras de activación para espiar. Los investigadores señalan que en este caso, el usuario se pone en un bucle ya que «el dispositivo envía constantemente entradas de voz al servidor del pirata informático mientras emite pequeños silencios en el medio».
SRLabs ha eliminado todas las aplicaciones que se muestran en los videos mostrados anteriormente. Los investigadores también informaron sus hallazgos a Amazon y Google.
Según Ars Technica, ambas compañías respondieron diciendo que están cambiando sus procesos de aprobación y adoptando mecanismos adicionales para evitar tales ataques en el futuro.
Sin embargo, no hay ninguna actualización de Amazon o Google que indique cuándo se solucionarán estos problemas. Tampoco hay forma de saber si una habilidad o acción hizo mal uso de estas lagunas en el pasado.