header-logo

Comunicación de marketing impulsada por inteligencia artificial

iCrowdNewswire Spanish

Los investigadores de seguridad exponen la nueva vulnerabilidad de Alexa y Google Home

Oct 25, 2019 2:51 AM ET

Foto por Dan Seifert / The Verge

Los investigadores de seguridad con SRLabs han revelado una nueva vulnerabilidad que afecta tanto a los altavoces inteligentes de Google y Amazon que podría permitir a los piratas informáticos espiar o incluso phish usuarios desprevenidos. Al subir una pieza maliciosa de software disfrazado de una inocua Alexa Skill o Google Action, los investigadores mostraron cómo se puede conseguir que los altavoces inteligentes graben silenciosamente a los usuarios, o incluso pedirles la contraseña de su cuenta de Google.

La vulnerabilidad es un buen recordatorio para mantener un ojo en el software de terceros que utiliza con sus asistentes de voz, y para eliminar cualquier que es poco probable que utilice de nuevo siempre que sea posible. No hay evidencia de que esta vulnerabilidad ha sido explotada en el mundo real, sin embargo, y SRLabs reveló sus hallazgos a Amazon y Google antes de hacerlos públicos.

En una serie de videos, el equipo de SRLabs ha mostrado cómo funcionan los hacks. Una, una acción para Google Home, permite al usuario pedir que se genere un número aleatorio. La acción hace exactamente esto, pero el software continúa escuchando mucho después de realizar su comando inicial. Otro, una habilidad de horóscopo aparentemente inocua para Alexa, logra ignorar un comando de “parada” dado por el usuario y continuar escuchando en silencio. Dos videos más muestran cómo ambos altavoces pueden ser manipulados para dar mensajes de error falsos, sólo para canalizar un minuto más tarde con otro mensaje falso para pedir la contraseña del usuario.

En todos los casos, el equipo fue capaz de explotar un defecto en ambos asistentes de voz que les permitió seguir escuchando durante mucho más tiempo de lo habitual. Lo hicieron alimentando a los asistentes con una serie de personajes que no pueden pronunciar, lo que significa que no dicen nada, y sin embargo continúan escuchando para más comandos. Todo lo que el usuario dice se transcribe automáticamente y se envía directamente al hacker.

El software de terceros para cualquier altavoz inteligente tiene que ser examinado y aprobado por Google o Amazon antes de que pueda ser utilizado con sus altavoces inteligentes. Sin embargo, ZDNet señala que las empresas no comprueban las actualizaciones de las aplicaciones existentes, lo que permitió a los investigadores colar código malicioso en su software que luego es accesible para los usuarios.

En una declaración proporcionada a Ars Technica,Amazon dijo que ha puesto en marcha nuevas mitigaciones para prevenir y detectar habilidades de ser capaz de hacer este tipo de cosas en el futuro. Dijo que elimina las habilidades cada vez que se identifica este tipo de comportamiento. Google también le dijo a Ars que tiene procesos de revisión para detectar este tipo de comportamiento, y ha eliminado las acciones creadas por los investigadores de seguridad. Un portavoz también confirmó a la publicación que la compañía está llevando a cabo una revisión interna de todas las acciones de terceros, y ha desactivado temporalmente algunas acciones mientras esto está teniendo lugar.

Como señala ZDNet, esta no es la primera vez que vemos que los dispositivos Alexa o Google Home se convierten en herramientas de phishing y espionaje por los investigadores de seguridad, pero es preocupante que se sigan descubriendo nuevas vulnerabilidades, especialmente como la seguridad y aspectos de privacidad de ambos dispositivos están bajo un mayor escrutinio. Por ahora, es mejor tratar el software de asistente de voz de terceros con la misma precaución que debe utilizar con extensiones del navegador, y sólo interactuar con el software de las empresas en las que confía lo suficiente para dejar entrar en su casa.

Contact Information:

Jon Porter
Keywords:  afds, afdsafds

Tags:  News, Spanish, United States, Wire