Por John P. Mello Jr.
22 de octubre de 2019 4:00 a.m. PT
Las fallas en los altavoces inteligentes de Amazon y Google pueden exponer a los usuarios a escuchas y phishing de voz, informaron investigadores de seguridad el domingo.
Investigadores en
Laboratorios de investigación de seguridad, un grupo de investigación de piratería y un grupo de expertos de consultoría con sede en Berlín, Alemania, descubrió que los desarrolladores podían crear aplicaciones maliciosas para las plataformas de Amazon y Google para convertir los altavoces inteligentes en espías inteligentes.
Utilizando las interfaces de desarrollo estándar para las plataformas, los investigadores encontraron una manera de solicitar y recopilar datos personales de los usuarios, incluidas las contraseñas, y de espiar a los usuarios después de creer que el altavoz inteligente había dejado de escuchar.
Aunque Amazon y Google revisan la seguridad de las aplicaciones de voz antes de que se usen en sus plataformas, los desarrolladores pueden realizar cambios después de que se complete una revisión. Eso permitió a los investigadores agregar código malicioso a sus aplicaciones de voz después de que Amazon y Google los examinaran.
"Los consumidores deben ser conscientes de que están enviando datos a terceros cuando usan aplicaciones de voz", explicó el investigador de SRL Karsten Nohl. "Estas aplicaciones no necesitan instalarse en el dispositivo, sino que se invocan a través de frases que el desarrollador de la aplicación elige".
"Por lo tanto, los usuarios podrían no saber que están utilizando los servicios de un tercero", dijo a TechNewsWorld. "Los piratas inteligentes espías agregan urgencia a esta situación, ya que permiten a los desarrolladores de aplicaciones escuchar a los usuarios después de que la aplicación supuestamente ha dejado de funcionar".
Estar preocupado, estar muy preocupado
Los consumidores deben estar preocupados por el SLR hallazgos de los investigadores, dijo Charles King, analista principal de Pandit, una firma de asesoría tecnológica en Hayward, California.
"En esencia, SRL demostró que las aplicaciones con funciones y características maliciosas pueden pasar los procesos de investigación tanto en Amazon como en Google", dijo a TechNewsWorld.
"Eso, junto con las noticias sobre los empleados de ambas compañías que violan la privacidad de los clientes al escuchar las conversaciones, debería hacer pensar a cualquiera sobre el uso de los productos Amazon Alexa y Google Home", dijo King.
El informe SLR se suma a un creciente cuerpo de investigación que muestra que los altavoces inteligentes degradan la privacidad, señaló Parham Eftekhari, director ejecutivo de
Instituto de Tecnología de Infraestructura Crítica en Washington. CORRIENTE CONTINUA.
"Ya sea que los fabricantes de dispositivos recopilen audio para fines de I + D o vulnerabilidades explotadas por piratas informáticos como lo que se analiza en este informe, los consumidores deben comprender que la comodidad y la funcionalidad que los altavoces inteligentes aportan a sus vidas tiene un costo", dijo a TechNewsWorld.
De los dos exploits montados por los investigadores de SLR, el phishing de voz debería preocupar a los consumidores, observó Blake Kozak, el analista principal para la investigación de hogares inteligentes en IHS Markit, una firma de investigación, análisis y asesoría con sede en Londres.
"Escuchar a escondidas sería mucho menos valioso y útil para los hackers", dijo a TechNewsWorld. "Es más plausible que un hacker use un dispositivo vulnerable para extraer Bitcoin en lugar de filtrar y analizar 20 segundos o cientos de horas de grabaciones de millones de personas para encontrar algo útil".
Bashing Bad Apps
Después de ser alertado de la "habilidad" maliciosa, el nombre de Amazon para las aplicaciones que funcionan con su plataforma de altavoces inteligentes, la compañía bloqueó la particular creada por los investigadores y puso en marcha cambios para rechazar o bloquear cualquier habilidad que exhiba el comportamiento desagradable de la aplicación de los investigadores, según la información proporcionada a TechNewsWorld por la portavoz de Amazon Samantha Kruse.
La compañía dijo que tiene salvaguardas para bloquear o eliminar habilidades que solicitan contraseñas de Amazon.
Aunque Amazon abordó las fallas SLR descubiertas, notó que no había visto ninguna habilidad para pedir a los clientes contraseñas o mostrar los otros comportamientos en las aplicaciones SLR.
"Es importante que continuemos trabajando con la comunidad de seguridad para proteger a nuestros clientes", dijo el portavoz de Amazon. "Cuando se nos alerta sobre posibles problemas de seguridad, trabajamos para desarrollar mitigaciones y continuaremos haciéndolo para cualquier otra cosa que se nos informe. Tenemos un equipo dedicado enfocado en certificar habilidades y garantizar la seguridad de nuestros clientes".
Google no respondió a nuestra solicitud de comentarios para esta historia.
Tomo en serio la seguridad
"Para su crédito, Amazon y Google han sido bastante buenos para solucionar problemas una vez que se enteran de ellos", dijo King de Pund-IT.
"Diría que se merecen el beneficio de la duda en la medida en que hacen lo correcto aquí", continuó, "pero todavía dejaría los parlantes inteligentes desconectados hasta que vea evidencia de que la buena voluntad está justificada".
Amazon y Google han hecho mucho para identificar agujeros de seguridad en sus plataformas, observó Jim McGregor, analista principal de Tirias Research, una firma de investigación y asesoramiento de alta tecnología con sede en Phoenix.
"Estas compañías están tomando en serio la seguridad", dijo a TechNewsWorld, "pero solo se necesita una manzana podrida para arruinar las cosas, ya sea en el lado de la seguridad o en el lado de la privacidad".
Tanto Amazon como Google podrían hacer un mejor trabajo al informar a los consumidores sobre qué tipo de información se recopila y cómo se puede acceder a ella, observó John Wu, CEO de San Diego.
Grifo, fabricante de un enrutador WiFi seguro.
"No solo es difícil acceder a esa información, sino que a veces la información que se recopila es información que no pensamos que se estaba recopilando", dijo a TechNewsWorld. "Descubrimos que algunos de estos dispositivos continúan grabando audio durante 10 a 15 minutos después de que se completa una tarea, lo que nos preocupa".
Anuncios recientes de Amazon y Google sugieren que están recibiendo el mensaje sobre el control de los datos por parte de los consumidores. Amazon ha agregado una función en su asistente digital Alexa que permite al usuario eliminar todo lo que ha grabado, así como preguntarle qué escuchó y por qué respondió de cierta manera.
Google también le ha dado a su asistente el poder de destruir datos cuando un usuario se lo ordena.
"Ese es un paso en la dirección correcta que brinda a los usuarios más control sobre sus propios datos", dijo Wu.
Código abierto vs. Jardín amurallado
Kozak de IHS explicó que Amazon y Google pueden utilizar el trabajo de los piratas informáticos de sombrero blanco como SLR para evitar futuras explotaciones, pero su mayor desafío es identificar creadores de habilidades maliciosas.
"Eso significa endurecer el ecosistema y la elección de socios potenciales", dijo, "pero este enfoque es positivo y negativo".
Cuando Google trató de reforzar su ecosistema Nest investigando más de cerca a los socios y moviendo a los clientes a usar Google exclusivamente, el movimiento fue recibido con desdén por parte de los consumidores y la comunidad de desarrolladores, señaló Kozak.
"El consumidor y los desarrolladores quieren que todas las plataformas estén abiertas y funcionen con todos y cada uno de los dispositivos", dijo, "pero esto deja a los consumidores y proveedores vulnerables a actividades maliciosas".
Si los hallazgos de SLR ilustran algo, es que los consumidores deben tratar sus altavoces inteligentes como lo harían con sus dispositivos más convencionales.
"Los consumidores deben tener en cuenta que instalar nuevas invocaciones o intentos en un altavoz inteligente no es muy diferente de instalar un programa en su computadora o teléfono", señaló Craig Young, investigador de seguridad informática de
Tripwire, una compañía de detección y prevención de amenazas de ciberseguridad de Portland, Oregon.
"Desafortunadamente", dijo a TechNewsWorld, "la responsabilidad recae principalmente en los consumidores para que sean diligentes en la verificación del contenido en estas nuevas plataformas".
John P. Mello Jr. ha sido reportero de ECT News Network
desde 2003. Sus áreas de enfoque incluyen seguridad cibernética, problemas de TI, privacidad, comercio electrónico, redes sociales, inteligencia artificial, big data y electrónica de consumo. Ha escrito y editado para numerosas publicaciones, incluida la Boston Business Journal, el
Boston Phoenix, Megapixel.Net y Gobierno
Noticias de seguridad. Email John.