Los altavoces inteligentes están en nuestra casa y con nosotros en todo momento. Sin embargo, las compañías que hay otros humanos que pueden escuchar lo que le preguntamos al altavoz para mejorar el sistema de detección e interpretación, y en algunos casos cuando se activan por error, pueden escuchar pequeños trozo de nuestras conversaciones. Ahora, han descubierto que hay skills y acciones de Alexa y el Asistente de Google que se aprovechan de los altavoces para robar nuestras contraseñas.
La culpa de ello la tienen aplicaciones de terceros que están disponibles en los dispositivos de Amazon y Google. Para demostrarlo, investigadores alemanes de SR Labs desarrollaron ocho apps; cuatro skills para Alexa, y cuatro acciones para el Asistente de Google. Todas ellas fueron aprobadas por ambas compañías y podían instalarse por parte de los usuarios.
Siete de las apps servían, supuestamente, para comprobar el horóscopo, mientras que una era un generador de números aleatorios. Sin embargo, las apps lo que hacían en segundo plano era espiar a los usuarios y usar técnicas de phishing para robarles la contraseña, demostrando que no sólo hay dudas sobre el respeto de la privacidad por parte de las grandes compañías como Google o Facebook, sino que también los hackers pueden hacerse con nuestros datos.
Para ejecutar las acciones o skills, los usuarios tenían que decir “Alexa, pregunta a My Lucky Horoscope el horóscopo para Tauro”, o el equivalente con “Ok Google”. Las apps del horóscopo daban los datos reales, pero las otras apps, que se ejecutaban con el mismo comando, daban un falso error, dando a entender al usuario que ya no estaban funcionando. Sin embargo, éstas seguían ejecutándose en segundo plano y grabando todo lo que hacía el usuario, incluso aunque al final se dijese “Alexa, para”. Después de grabar durante más de 30 segundos, el texto se envía a un servidor controlado por los hackers.
En el caso de las apps de phishing, las acciones y skills responden al usuario que “la función no está disponible en tu país”. Un minuto después, la app usa una voz parecida a la de los asistentes de voz para decir que hay una actualización disponible, y le pide la contraseña al usuario para instalarla, algo que no tenemos que dar nunca a un altavoz.
Para que los altavoces siguiesen activos, se enviaban instrucciones a los altavoces con un signo que no podían leer, el cual es «�.» (U+D801, punto, espacio). Al no poder pronunciarlo, los altavoces se quedaban “pensando” en silencio, con las apps ejecutándose y escuchando, siendo este un fallo que afecta tanto a los altavoces de Amazon como a los de Google.
Los investigadores comunicaron los resultados de la investigación a Amazon y a Google, que ya han retirado las skills y acciones de dispositivos como el Echo Spot. Ambas compañías afirman que cambiarán el proceso de aprobación en el futuro para evitar que se vuelvan a dar casos como este. Además, están revisando todas las que ya tienen disponibles para ver si alguna se está aprovechando de estos mecanismos.
Fuente: ADSLZone