Las fallas en los parlantes inteligentes de Amazon y Google podrían exponer a los usuarios a escuchas ilegales y phishing de voz, informaron investigadores de seguridad el domingo.
investigadores en Laboratorio de investigación de seguridadun grupo de investigación sobre piratería y un centro de estudios de consultoría con sede en Berlín, Alemania, descubrió que los desarrolladores pueden crear aplicaciones maliciosas para las plataformas de Amazon y Google que convierten a los altavoces inteligentes en espías inteligentes.
Usando la interfaz de desarrollo estándar de la plataforma, los investigadores encontraron una manera de solicitar y recopilar datos personales de los usuarios, incluidas las contraseñas, y escuchar a los usuarios después de que pensaron que el altavoz inteligente había dejado de escuchar.
Si bien Amazon y Google revisan la seguridad de las aplicaciones de voz antes de que se usen en sus plataformas, los desarrolladores pueden realizar cambios una vez que se completa la revisión. Esto permitió a los investigadores agregar código malicioso a sus aplicaciones de voz después de que Amazon y Google las investigaran.
«Los consumidores deben ser conscientes de que están enviando datos a terceros cuando usan aplicaciones de voz», explica Karsten Nohl, investigador de SRL. «Estas aplicaciones no necesitan instalarse en el dispositivo, pero se invocan con una frase elegida por el desarrollador de la aplicación».
«Por lo tanto, es posible que los usuarios no sepan que están utilizando un servicio de terceros», dijo a TechNewsWorld. «Los trucos de espionaje inteligente agregan urgencia a esta situación, ya que permiten a los desarrolladores de aplicaciones espiar a los usuarios después de que sus aplicaciones dejan de funcionar».
Tabla de Contenidos
te importa mucho
Los consumidores deben prestar atención a los hallazgos de los investigadores de SLR, dice el analista principal Charles King Golpearlouna empresa de consultoría tecnológica con sede en Hayward, California.
«Esencialmente, SRL demuestra que las aplicaciones con funciones y características maliciosas pueden pasar el proceso de revisión de Amazon y Google», dijo a TechNewsWorld.
“Esto, y la noticia de que los empleados de ambas compañías violaron la privacidad de los clientes al escuchar conversaciones a escondidas, debería hacer que cualquiera reconsidere el uso de los productos Amazon Alexa y Google Home”, dijo Kim.
El informe SLR se suma al creciente cuerpo de investigación que muestra que los parlantes inteligentes reducen la privacidad, señala el director ejecutivo Parham Eftekhari Instituto de Tecnología de Infraestructura Crítica en Washington.corriente continua
«Ya sea audio recopilado por los fabricantes de dispositivos con fines de investigación y desarrollo, o explotado por piratas informáticos como el que se analiza en este informe, los consumidores deben comprender que la comodidad y la funcionalidad que los altavoces inteligentes brindan a sus vidas tienen un precio», dijo a TechNewsWorld.
De los dos ataques lanzados por los investigadores de SLR, el phishing de voz debería ser la mayor preocupación para los consumidores, observó Blake Kozak, analista principal de investigación de hogares inteligentes en IHS Markit, una firma de investigación, análisis y asesoría con sede en Londres.
«Escuchar es mucho menos valioso y útil para los piratas informáticos», dijo a TechNewsWorld. «Es más probable que los piratas informáticos utilicen equipos vulnerables para extraer bitcoins que filtrar y analizar 20 segundos o cientos de horas de grabaciones de millones de personas que buscan algo útil».
atacando malas aplicaciones
Después de recibir una advertencia sobre «habilidades» maliciosas (el nombre de Amazon para las aplicaciones en su plataforma de parlantes inteligentes), la compañía bloqueó «habilidades» específicas creadas por investigadores e hizo cambios para negar o bloquear a cualquiera que pareciera tener habilidades conductuales maliciosas. La aplicación de los investigadores, según la información proporcionada a TechNewsWorld por la portavoz de Amazon, Samantha Kruse.
La compañía dijo que tiene medidas de seguridad para bloquear o deshabilitar la capacidad de solicitar contraseñas de Amazon.
Si bien Amazon abordó las fallas encontradas por SLR, señaló que no vio ningún truco que requiriera que los clientes ingresaran sus contraseñas o mostrara otro comportamiento dentro de la aplicación SLR.
“Es importante que sigamos trabajando con la comunidad de seguridad para proteger a nuestros clientes”, dijo un portavoz de Amazon. «Cuando se nos alerta sobre un posible problema de seguridad, trabajamos arduamente para desarrollar mitigaciones y continuaremos tomando medidas sobre cualquier problema adicional que se nos informe. Contamos con un equipo dedicado centrado en las habilidades de acreditación y en mantener a los clientes seguros».
Google no respondió a nuestra solicitud de comentarios para esta historia.
tomar la seguridad en serio
«Para su crédito, Amazon y Google son muy buenos para resolver problemas después de que los entienden», dijo Kim de Pund-IT.
«Yo diría que mientras estén haciendo lo correcto aquí, deberían ser sospechosos», continuó, «pero aún desconectaría el altavoz inteligente hasta que vea evidencia de que las buenas intenciones están justificadas».
Amazon y Google han hecho mucho para identificar agujeros de seguridad en sus plataformas, observa el analista principal Jim McGregor. Investigación Tiriasuna empresa de consultoría e investigación de alta tecnología con sede en Phoenix.
«Estas empresas se toman la seguridad en serio», dijo a TechNewsWorld, «pero solo se necesita una manzana podrida para arruinar las cosas, tanto en términos de seguridad como de privacidad».
El director ejecutivo de San Diego, John Wu, señaló que tanto Amazon como Google podrían hacer un mejor trabajo al informar a los consumidores sobre qué información se recopila y cómo acceder a ella. Grifónfabricante de routers WiFi seguros.
«No solo es difícil acceder a la información, sino que a veces la información recopilada es información que no creemos que se recopile», dijo a TechNewsWorld. «Descubrimos que algunos de estos dispositivos continuaron grabando audio durante 10 a 15 minutos después de completar la tarea, lo que nos preocupó».
Anuncios recientes de Amazon y Google muestran que están aprendiendo sobre el poder que tienen los consumidores sobre sus datos. Amazon agregó una función a su asistente digital Alexa que permite a los usuarios borrar todo lo que grabó y preguntarle qué escuchó y por qué respondió de cierta manera.
Google también le está dando a su Asistente el poder de destruir datos a las órdenes del usuario.
«Es un paso en la dirección correcta, dando a los usuarios más control sobre sus datos», dijo Wu.
Fuente abierta y jardines amurallados
Kozak de IHS explicó que Amazon y Google pueden aprovechar el trabajo de hackers de sombrero blanco como SLR para prevenir futuros ataques, pero su mayor desafío es identificar a los creadores de habilidades maliciosas.
“Esto significa ajustar el ecosistema y la selección de socios potenciales”, dijo, “pero este enfoque tiene aspectos positivos y negativos”.
Kozak señaló que cuando Google trató de reforzar su ecosistema Nest investigando más rigurosamente a los socios y brindando a los clientes acceso exclusivo a Google, la medida fue recibida con desdén por parte de las comunidades de consumidores y desarrolladores.
«Los consumidores y los desarrolladores esperan que todas las plataformas estén abiertas y funcionen con todos y cada uno de los dispositivos», dijo, «pero esto deja a los consumidores y proveedores vulnerables a la actividad maliciosa».
Si los hallazgos de SLR sirven de algo, es que los consumidores deben tratar sus altavoces inteligentes como lo harían con dispositivos más tradicionales.
«Los consumidores deben darse cuenta de que instalar una nueva llamada o intento en un altavoz inteligente no es tan diferente de instalar un programa en una computadora o teléfono», dijo Craig Young, investigador de seguridad informática en la firma de detección de amenazas de seguridad cibernética Tripwire en Portland, Oregón. .” y la Corporación de Prevención.
«Desafortunadamente», dijo a TechNewsWorld, «la responsabilidad recae principalmente en los consumidores para examinar diligentemente el contenido en estas nuevas plataformas».