Investigadores de SRLabs a través de interfaces de desarrollo estándar crearon aplicaciones que fueron aceptadas por las plataformas Amazon y Google para sus altavoces inteligentes, las cuales permitieron descubrir exploits en esas plataformas que podrían usarse para ataques de phishing y para espiarlos.
SRL creo varias aplicaciones para cada una de las plataformas que parecían ser inofensivas como por ejemplo una de las habilidades de Alexa que permitía a los usuarios conocer su horóscopo. Todas estas aplicaciones tendía código malicioso escondido, el cual no fue detectado por ninguna de las plataformas.
Esas aplicaciones en manos de cibercriminales podrían fácilmente solicitar y recopilar datos personales a través de los altavoces inteligentes, incluidas contraseñas de usuario y escuchar a los usuarios después de que estos estén convencido de que el altavoz inteligente ha dejado de escuchar.
De acuerdo a SRLabs, utilizaron trucos que combinan 3 componentes básicos. Primero aprovecharon el «intento de recuperación», que es el valor predeterminado de una aplicación de voz cuando no puede asignar el comando hablado más reciente del usuario a ningún otro intento y debe ofrecer ayuda y que para que lo entiendan mejor es cuando el Asistente de Google o Alexa, luego de una pregunta o comando del usuario responde algo así como «Lo siento, no entendí eso. ¿Puedes repetirlo?».
El segundo componente básico fue con respecto a los usuarios de Alexa. En este caso explotaron aún más la intención de detención incorporada que reacciona cuando el usuario dice «detener». También aprovecharon que el altavoz inteligente permitía cambiar la funcionalidad de una intención después de que la aplicación ya había pasado el proceso de revisión de la plataforma.
El último componente básico de los trucos fue que aprovecharon una peculiaridad en el motor de texto a voz de Alexa y Google que permite insertar largas pausas en la salida de voz.
Todas las aplicaciones de investigación creadas y usadas fueron eliminadas por Google y Amazon luego de que los investigadores comunicaron la investigación y los exploits de los altavoces inteligentes a estas plataformas.
La conclusión en la investigación de SLR entre otras cosas dice lo siguiente,
Para evitar ataques de ‘Espías Inteligentes’, Amazon y Google deben implementar una mejor protección, comenzando con un proceso de revisión más completo de las habilidades y acciones de terceros disponibles en sus tiendas de aplicaciones de voz.
Vía | Ars Technica