Investigadores de seguridad exponen nueva vulnerabilidad de Alexa y Google Home

Los investigadores de seguridad con SRLabs han revelado una nueva vulnerabilidad que afecta tanto a los altavoces inteligentes de Google como a los de Amazon que podría permitir a los piratas informáticos espiar o incluso estafar a usuarios desprevenidos. Al subir un software malicioso disfrazado de Alexa Skill o Google Action inocuo, los investigadores mostraron cómo puede hacer que los altavoces inteligentes graben en silencio a los usuarios, o incluso les pidan la contraseña de su cuenta de Google.

La vulnerabilidad es un buen recordatorio para vigilar de cerca el software de terceros que usa con sus asistentes de voz, y para eliminar cualquiera que sea poco probable que vuelva a usar cuando sea posible. Sin embargo, no hay evidencia de que esta vulnerabilidad haya sido explotada en el mundo real, y SRLabs reveló sus hallazgos a Amazon y Google antes de hacerlos públicos.

En una serie de videos, el equipo de SRLabs ha mostrado cómo funcionan los hacks. Uno, una acción para Google Home, permite al usuario solicitar que se genere un número aleatorio. La acción hace exactamente esto, pero el software continúa escuchando mucho después de realizar su comando inicial. Otra, una habilidad de horóscopo aparentemente inocuo para Alexa, logra ignorar una orden de "detener" dada por el usuario y continuar escuchando en silencio. Dos videos más muestran cómo ambos oradores pueden ser manipulados para dar mensajes de error falsos, solo para aparecer un minuto más tarde con otro mensaje falso para solicitar la contraseña del usuario.

En todos los casos, el equipo pudo explotar una falla en ambos asistentes de voz que les permitió seguir escuchando durante mucho más tiempo de lo habitual. Lo hicieron alimentando a los asistentes con una serie de caracteres que no pueden pronunciar, lo que significa que no dicen nada y, sin embargo, continúan escuchando más órdenes. Todo lo que dice el usuario se transcribe automáticamente y se envía directamente al hacker.

El software de terceros para cualquiera de los altavoces inteligentes debe ser examinado y aprobado por Google o Amazon antes de que pueda usarse con sus altavoces inteligentes. Sin embargo, ZDNet señala que las empresas no verifican las actualizaciones de las aplicaciones existentes, lo que permitió a los investigadores introducir código malicioso en su software que luego es accesible para los usuarios.

En una declaración proporcionada a Ars Technica, Amazon dijo que ha implementado nuevas mitigaciones para prevenir y detectar que las habilidades puedan hacer este tipo de cosas en el futuro. Dijo que elimina las habilidades cada vez que se identifica este tipo de comportamiento. Google también le dijo Ars que tiene procesos de revisión para detectar este tipo de comportamiento y ha eliminado las acciones creadas por los investigadores de seguridad. Un portavoz también confirmó a la publicación que la compañía está llevando a cabo una revisión interna de todas las acciones de terceros, y ha deshabilitado temporalmente algunas acciones mientras esto se lleva a cabo.

Como ZDNet señala, esta no es la primera vez que los investigadores de seguridad convierten dispositivos Alexa o Google Home en herramientas de phishing y espionaje, pero es preocupante que se sigan descubriendo nuevas vulnerabilidades, especialmente porque los aspectos de seguridad y privacidad de ambos dispositivos son venir bajo mayor escrutinio. Por ahora, es mejor tratar el software de asistente de voz de terceros con la misma precaución que debe usar con las extensiones del navegador, y solo interactuar con el software de compañías en las que confía lo suficiente como para dejar entrar a su hogar.