Hackers pueden aprovecharse de Alexa y Google Home para espiar y robar contraseñas

El portal ArsTechnica ha publicado un reportaje sobre las preocupaciones alrededor de aplicaciones maliciosas desarrolladas por terceros con el fin de aprovechar dispositivos inteligentes para espiar a usuarios y robar contraseñas.

Por ahora, las amenazas a la privacidad planteadas por Amazon Alexa y Google Home son de conocimiento común. Los trabajadores de ambas compañías habitualmente han escuchado audios de usuarios.

Ahora, hay una nueva preocupación: aplicaciones maliciosas desarrolladas por terceros y alojadas por Amazon o Google. La amenaza no es solo teórica. Hackers de Whitehat en los laboratorios de investigación de seguridad de Alemania desarrollaron ocho aplicaciones (cuatro «habilidades» de Alexa y cuatro «acciones» de Google Home) que superaron los procesos de investigación de seguridad de ambas empresas. Las habilidades o acciones se presentan como aplicaciones simples para verificar horóscopos, con la excepción de uno, que se hizo pasar por un generador de números aleatorios. Detrás de escena, estos «espías inteligentes», como los llaman los investigadores, espiaban subrepticiamente a los usuarios y además roban sus contraseñas.

«Siempre estuvo claro que esos asistentes de voz tienen implicaciones de privacidad, ya que Google y Amazon reciben comandos de voz, y esto posiblemente genera en ocasiones accidentes», señala Fabian Bräunlein, consultor senior de seguridad de SRLabs. «Ahora mostramos que, no solo los fabricantes, sino también … los hackers pueden abusar de esos asistentes de voz para entrometerse en la privacidad de alguien».

Las aplicaciones maliciosas tenían diferentes nombres y formas de trabajar ligeramente diferentes, pero todas seguían flujos similares. Un usuario diría una frase como: «Hola Alexa, pide a Mi Lucky Horóscopo que me dé el horóscopo de Tauro» o «OK Google, pide a Mi Lucky Horóscopo que me dé el horóscopo de Tauro». Las aplicaciones de espionaje respondieron con la información solicitada, mientras que las aplicaciones de phishing dieron un mensaje de error falso. Luego, las aplicaciones dieron la impresión de que ya no se estaban ejecutando cuando, de hecho, esperaron en silencio la siguiente fase del ataque.

Después de reportar estas aplicaciones ambas empresas las eliminaron de sus tiendas de aplicaciones. Es alentador que Amazon y Google hayan eliminado las aplicaciones y estén fortaleciendo sus procesos de revisión para evitar que aplicaciones similares estén disponibles. Pero el éxito de SRLabs plantea serias preocupaciones. Google Play tiene una larga historia de hospedaje de aplicaciones maliciosas que generan malware sofisticado de vigilancia, en al menos un caso, dijeron los investigadores, para que el gobierno de Egipto pueda espiar a sus propios ciudadanos. Otras aplicaciones maliciosas de Google Play han robado criptomonedas de usuarios y ejecutado cargas secretas de código. Este tipo de aplicaciones se han escapado rutinariamente del proceso de investigación de Google durante años.

Hay poca o ninguna evidencia de que las aplicaciones de terceros estén amenazando activamente a los usuarios de Alexa y Google Home ahora, pero la investigación de SRLabs sugiere que la posibilidad de ninguna manera es descabelladaLos riesgos planteados por Alexa, Google Home y otras aplicaciones que siempre escuchan superan sus beneficios. La investigación de SRLabs Smart Spies solo aumenta la creencia de que la mayoría de las personas no deberían confiar en estos dispositivos.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Puedes usar estas etiquetas y atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>