Home Sociedad Aplicaciones de voz maliciosas, pueden convertir a los dispositivos de Alexa y...

Aplicaciones de voz maliciosas, pueden convertir a los dispositivos de Alexa y Google Home en espías

Los ciberdelincuentes podrían desarrollar aplicaciones de voz maliciosas que conviertan los dispositivos de Amazon Alexa y los altavoces inteligentes de Google Home en equipos de espionaje que escuchen a los usuarios e incluso usen phish para obtener contraseñas.

El informe, de Security Research Labs (SRLabs) advierte de que las fallas de seguridad en la forma en que los dispositivos de Google Home y Alexa (como el altavoz inteligente Echo) aceptan los comandos de voz y se comunican con los usuarios podrían permitir a los adversarios crear específicamente “Skills” (el término oficial para las aplicaciones de Alexa) y “Actions” (el término oficial para las aplicaciones de Google Home), que convierten los dispositivos en “Smart Spies”.

Una de las mayores deficiencias, según SRLabs, es la forma en que Amazon y Google permiten a los desarrolladores de Skill and Action realizar ciertos cambios de funcionalidad después de que las aplicaciones de voz ya hayan pasado por el proceso de revisión y aprobación de la seguridad, sin ningún otro escrutinio.

SRLabs también identificó dos de los llamados “intentos” como problemas adicionales. Las intenciones son las tareas que los usuarios solicitan a Alexa y Google Home de forma rutinaria, como, por ejemplo, consultar el pronóstico meteorológico local. Cuando el asistente virtual de un dispositivo es incapaz de hacer coincidir el comando hablado del usuario con una función dada, por defecto es una “intención de repliegue” preprogramada. Este intento de repliegue es el primero de los dos intentos explotables. La otra es la “intención de parar”, que reacciona cuando los usuarios dicen la palabra “parar”.

Un tercer problema que los investigadores descubrieron es que los desarrolladores de aplicaciones adversas pueden añadir caracteres impronunciables al motor de texto a voz de Alexa y Google Home que hace que suene como si el asistente virtual hubiera dejado de hablar y se hubiera quedado dormido, cuando en realidad sigue activo y en realidad está haciendo una larga pausa.

Al combinar estos diversos problemas, los atacantes pueden engañar a los usuarios para que revelen sus datos confidenciales o permitan a personas ajenas espiar sus comunicaciones.

Para conseguir que los usuarios de altavoces inteligentes revelen sus contraseñas, los atacantes pueden crear para sus aplicaciones de voz una intención que se inicia diciendo la palabra “Start” y luego trata las palabras que se pronuncian a continuación como una entrada de usuario variable (también conocida como valor de ranura) que debe ser grabada y reenviada al módulo de servicio de la aplicación. En otras palabras, tan pronto como los usuarios dicen “Start”, lo que digan a continuación se graba y se envía directamente a los desarrolladores de la aplicación maliciosa.

El truco, por supuesto, es hacer que los usuarios digan sus contraseñas después de decir “Empezar”. Los atacantes pueden hacer esto cambiando el mensaje de bienvenida de su aplicación de voz por un mensaje de error falso, lo que engaña a los usuarios que lanzan la aplicación de voz para que piensen que no funciona. Los adversarios simplemente esperan hasta que Amazon y Google hayan revisado y aprobado la aplicación antes de sustituir el mensaje de bienvenida por el falso mensaje de error.

Los atacantes hacen entonces que el asistente virtual recite una larga lista de caracteres impronunciables para fingir silencio e inactividad cuando en realidad el hablante inteligente sigue estando muy activo y escuchando. Al final de este silencio, los atacantes hacen que el dispositivo pronuncie un mensaje de phishing pidiendo a los usuarios que instalen una actualización de seguridad importante diciendo “Iniciar actualización”, seguido de sus contraseñas. Todo lo que se diga después de la palabra “Start” se guardará como valor de la ranura y se enviará a los atacantes.

Con información de: 24 Horas.