Una investigación de la firma de seguridad SRLabs ha revelado cómo ciertas vulnerabilidades en los altavoces inteligentes basados en los asistentes de Amazon y Google pueden provocar que se espíen todas nuestras conversaciones.
Estos expertos desarrollaron varias aplicaciones aparentemente inocuas que pasaron los controles de las tiendas de aplicaciones para esos altavoces tanto en Amazon como en Google. Al activarlas esas aplicaciones se quedan permanentemente escuchando todo lo que ocurre alrededor, con lo que la amenaza para la privacidad es importante.
Cuidado con los skills y las acciones que siguen escuchando aunque no lo parezca
Ya sabíamos que los equipos de Amazon y Google acceden a parte de las las grabaciones de los usuarios con el objetivo de mejorar el comportamiento de estos altavoces, pero ese acceso restringido está a mucha distancia de lo que pueden lograr las aplicaciones maliciosas descubiertas.
Los responsables de la empresa alemana Security Research Labs (SRLabs) desarrollaron ocho aplicaciones, cuatro "skills" de Alexa y cuatro "acciones" de Google Home, que pasaron los controles de seguridad de ambas tiendas de aplicaciones.
Las herramientas eran aparentemente inocentes: servían por ejemplo para consultar el horóscopo o para generar números aleatorios, pero aunque cumplían con esa función, al activarlas los usuarios no se podían dar cuenta de que esas aplicaciones se quedaban escuchando lo que pasaba y recopilando todos esos clips de audio de forma indefinida.
Además, señalan los investigadores, estas aplicaciones trataban de recopilar contraseñas que usaran los usuarios en distintas situaciones. Para ellos simulaban tener un problema con la petición, que decían que no estaba disponible en el país.
A partir de ahí quedaban en silencio unos instantes para luego simular con la voz de estos asistentes que una actualización estaba disponible y que introdujesen su usuario y contraseña para instalar dicha actualización.
Las vulnerabilidades se aprovechan de ciertos comportamientos no aceptados por los altavoces, por ejemplo cuando se les pide que pronuncien la combinación de caracteres "�. " (U+D801, punto, espacio) que provoca que los altavoces se queden en silencio incluso cuando las aplicaciones están funcionando. Con eso las apps maliciosas logran que la aplicación siga ejecutándose (y escuchando) en el altavoz aunque para el usuario estas han dejado de funcionar porque el altavoz deja de hablar.
SRLabs acabó avisando tanto a Google como a Amazon del problema. Ambas retiraron esas aplicaciones tras el aviso, y confirmaron que están trabajando en los procesos de validación de estas herramientas para evitar que tengan ese tipo de acceso en el futuro.
Un portavoz de Google por ejemplo indica que "todas las Acciones en Google deben seguir nuestras políticas para desarrolladores, y prohibimos y eliminamos cualquier Acción que incumpla estas políticas. Tenemos procesos de revisión para detectar comportamientos como el descrito en este informe, y hemos eliminado las Acciones descubiertas por estos investigadores. Estamos poniendo en marcha mecanismos adicionales para prevenir que ocurran este tipo de problemas en el futuro".
Vía | Ars Technica
Más información | SRLabs
Ver 13 comentarios