No es la primera vez que se trata este tema, pero esta es una clara confirmación de lo mencionado anteriormente respecto a la seguridad de algunos dispositivos inteligentes. Expertos en protección de datos de la firma Security Research Labs (SRL) alteraron ocho apps con el propósito de espiar a los usuarios de Amazon Echo y Google Home.
“La mayoría de los usuarios asumen que las aplicaciones de voz sólo se activan cuando el usuario menciona una palabra clave; las apps modificadas se aprovechan de este hecho”, mencionó Karsten Nohl, miembro del equipo de investigación.
Los expertos en protección de datos aseguran que la creación de estos “espías inteligentes” fue un proceso relativamente fácil, pues no se requerían conocimientos avanzados en programación. Las aplicaciones alteradas brindan servicios como horóscopo diario o generación de números aleatorios.
Al terminar de interactuar con la aplicación los smart speakers responden con un mensaje de despedida; no obstante, en logar de apagarse de inmediato, el software sigue ejecutándose por varios segundos más. De este modo, cualquier frase o palabra registrada durante el lapso de tiempo que la aplicación sigue ejecutándose era registrada y enviada a los expertos encargados de la investigación.
“Es importante destacar que las luces de los smart speakers objetivo seguían encendidas durante esos segundos posteriores al apagado del dispositivo, por lo que un usuario precavido no debería tener problemas en identificar que el dispositivo sigue activo”, menciona Nohl.
Durante un ataque similar se enviaba al usuario un mensaje que decía: “Una nueva actualización de seguridad para su dispositivo está disponible. Por favor, diga en voz alta ‘Iniciar actualización’, seguido de su contraseña”. En este ataque, cualquier palabra que el usuario mencionara al smart speaker era registrada y enviada a los expertos. Respecto a este escenario, Nohl asegura: “Esta es una conducta anómala, pues se supone que ninguna aplicación legítima debería pedir su contraseña al usuario”.
Por otra parte, David Emm, experto en protección de datos de Kaspersky Lab asegura que un aspecto clave de estas debilidades de seguridad tiene que ver con los desarrolladores de las apps para Google Home y Amazon Echo, pues muchas veces se trata de compañías externas. “Debemos recordar que la capacidad de escucha de estos dispositivos también se extiende a las aplicaciones con las que funcionan”, menciona el experto.
La firma de seguridad notificó a ambas compañías acerca de las pruebas realizadas. Google anunció que eliminaría las apps alteradas: “Además, estamos implementando mecanismos adicionales para evitar que estos problemas ocurran en escenarios reales durante el uso de Google Home”, menciona el comunicado de la compañía.
Por su parte, Amazon también emitió un comunicado: “La confianza de nuestros usuarios es lo más importante. Al recibir el reporte bloqueamos de inmediato los servicios mencionados y aplicamos medidas para prevenir y detectar comportamiento similar en otros servicios”.
Esta no es la primera ocasión en la que el uso de estas herramientas deja dudas de privacidad. Hace un par de meses, expertos en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS) revelaron que Google permite que una compañía de terceros transcriba algunos fragmentos de las conversaciones de los usuarios con el Asistente de Google. Aunque la compañía afirma que esto se hace con el propósito de mejorar el sistema de aprendizaje automático del asistente de voz, miles de usuarios se mostraron preocupados, además de que se ignora bajo qué parámetros se eligen los fragmentos de audio que Google comparte con terceras partes.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
