Alexa, no robes contraseñas
Mediante un estudio realizado por Security Research Labs (SRLabs por sus siglas en inglés) presentado a Google y Amazon, se descubrió que al menos ocho aplicaciones maliciosas desarrolladas por terceros eran capaces de crear habilidades o acciones para el robo de credenciales. Los hackers de la firma de seguridad Whitehat desarrollaron en sus laboratorios de investigación y de aplicaciones, cuatro “habilidades” de Alexa y cuatro “acciones” de Google Home dentro de aplicaciones que parecían ser simples e inofensivas con funciones como escuchar el horóscopo diario; sin embargo, estos “espías inteligentes”, como los llaman los investigadores, mientras tanto aprovechaban para espiar a los usuarios y robar sus credenciales.
La forma de actuar sería así: Un usuario dice una frase a Alexa como “Hola Alexa, pide a My Lucky Horoscope el horóscopo de Aries” o “OK Google Home, pide a My Lucky Horoscope el horóscopo de Aries”. Hasta aquí todo parece ir bien; estas aplicaciones devuelven la información solicitada, pero a continuación mandan una respuesta como si hubiera un error, o se quedan en espera aparentando que las tareas se completaron sin más que hacer; en seguida se silencian y fingen estar deshabilitadas. Aquí es donde comienza la segunda fase del ataque en modo espionaje: las aplicaciones ejecutan la grabación, capturan y almacenan todas las conversaciones disponibles en el dispositivo y envían una copia a un servidor asignado por el desarrollador.
Otra de estas aplicaciones le informa al usuario mediante una respuesta de voz, que hay una actualización disponible y que necesita la contraseña para actualizarse; una vez que el usuario proporciona las credenciales, éstas se almacenan en las funciones de la aplicación maliciosa y se envían al atacante.
Los investigadores de SRLabs reportaron la investigación a Amazon y a Google antes de hacerla pública; como respuesta, ambas compañías eliminaron las aplicaciones y cambiaron la metodología de aprobaciones y restricciones para evitar la entrada de programas similares.
Los asistentes de voz nos ayudan de manera extraordinaria, pero también tienen implicaciones de privacidad, ya que Google y Amazon están en modo escucha, a veces activados por accidente; y no solo los fabricantes, sino también los atacantes pueden hacer uso de los asistentes para violar la privacidad de los usuarios. SRLabs recomienda a los usuarios de los dispositivos inteligentes tener más cuidado con la descarga de aplicaciones y solo utilizarlas cuando sea realmente necesario.
Referencias:
