Los altavoces inteligentes pueden ser excelentes para escuchar al instante la música que elijas, conocer las últimas noticias y la actualidad, o incluso pedir productos en línea. Pero si estos útiles dispositivos pueden explotarse con aplicaciones para escuchar nuestras conversaciones, la cosa cambia por completo, al menos para la mayoría de nosotros.
Al parecer, los altavoces Amazon Echo y Google Home se han visto comprometidos por apps modificadas para espiar a los usuarios tras ser aprobadas por las compañías tecnológicas.
La empresa berlinesa Security Research Labs (SRL) construyó los ocho "espías inteligentes", que se promocionaron como una forma de entregar horóscopos y generar números aleatorios.
Una vez aprobado, los investigadores actualizaron las acciones de Echo Skills y Home para espiar y robar contraseñas.
Entonces alertaron a las empresas estadounidenses, que bloquearon el software.
Karsten Nohl, jefe científico de SRL, declaró a BBC News:
Los espías inteligentes socavan la suposición de que las aplicaciones de voz sólo están activas mientras dialogan con el usuario, ...Crearlas [ha] sido un proceso bastante fácil que ha requerido relativamente poca experiencia en programación,
Se activaban cuando un usuario decía algo como: "Alexa, activa mis horóscopos" o: "OK Google, pide a Mi Horóscopo de la Suerte que me dé el horóscopo de Tauro".
Cuando el usuario intentaba apagar la aplicación, oía un mensaje de "Adiós", pero el software seguía funcionando durante varios segundos más en lugar de desactivarse inmediatamente.
Si, en ese tiempo, la persona decía una frase que incluía la palabra "yo" u otros términos elegidos, se transcribía su discurso y se enviaba a SRL.
Un indicio de que algo no iba bien era que la luz del altavoz inteligente seguía encendida, lo que indicaba que seguía escuchando, según el Sr. Nohl.
Y, sugirió, esto debería ser algo que los propietarios de altavoces inteligentes tuvieran en cuenta.
Una variante del ataque consistía en que la aplicación decía: "Una importante actualización de seguridad está disponible para su dispositivo. Por favor, diga 'Iniciar actualización', seguido de su contraseña".
Todo lo que el usuario decía después de la palabra "Inicio" se devolvía al desarrollador.
"Los usuarios deberían sospechar mucho cuando cualquier altavoz inteligente les pide una contraseña, algo que ninguna aplicación normal debería hacer", añadió Nohl.
David Emm, analista de seguridad de Kaspersky Lab, dijo que la gente debe recordar que algunas de las aplicaciones que se ofrecen para los dispositivos Amazon Echo y Google Home están hechas por terceros. Dijo:
Todos debemos ser conscientes de las capacidades de estos dispositivos, ...Son "oyentes inteligentes", no sólo altavoces inteligentes. Sus capacidades se extienden a las aplicaciones que utilizamos con ellos.
Google dijo que había eliminado las Acciones de SRL y añadió: "Estamos poniendo en marcha mecanismos adicionales para evitar que estos problemas se produzcan en el futuro."
Según Amazon:
La confianza del cliente es importante para nosotros y realizamos revisiones de seguridad como parte del proceso de certificación de habilidades. ...Rápidamente bloqueamos la habilidad en cuestión y pusimos en marcha mitigaciones para prevenir y detectar este tipo de comportamiento de la habilidad y rechazarla o retirarla cuando se identifica.
Fuente: BBC News