Alexa, cuando el espionaje es el juego

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Investigadores de seguridad han desarrollado una nueva “habilidad” maliciosa para la popular asistente de voz de Amazon, Alexa, que puede convertir su Amazon Echo en un dispositivo de espionaje completo.

Amazon Echo es un chabot parlante hogareño e inteligente que siempre está escuchando y es activado por voz, que le permite hacer cosas usando su voz, como reproducir música, configurar alarmas y responder preguntas.

Sin embargo, el dispositivo no permanece activado todo el tiempo; en cambio, duerme hasta que el usuario dice “Alexa” y, de forma predeterminada, finaliza una sesión después de cierta duración.

Amazon también permite a los desarrolladores crear aplicaciones personalizadas para “habilidades” para Alexa, que es el cerebro detrás de millones de dispositivos inteligentes activados por voz, incluidos Amazon Echo Show, Echo Dot y Amazon Tap.

Sin embargo, los investigadores crearon una “habilidad” como prueba de concepto para Alexa que obliga al dispositivo a grabar indefinidamente la voz envolvente para espiar secretamente las conversaciones de los usuarios y luego también enviar las transcripciones completas a un sitio web determinado.

Disfrazado como una simple calculadora para resolver problemas matemáticos, la habilidad maliciosa, si está instalada, se activa inmediatamente en segundo plano después de que un usuario dice “Alexa, abre la calculadora”.

“La habilidad de la calculadora se inicializa, y la API \ Lambda-función que está asociada con la habilidad recibe una solicitud de lanzamiento como entrada”, dijeron los investigadores en su informe.

En una demostración en video, los investigadores muestran que cuando un usuario abre una sesión con la aplicación de la calculadora (en segundo plano), también crea una segunda sesión sin indicar verbalmente al usuario que el micrófono aún está activo.

La gran permeabilidad que ha ganado este dispositivo en el mundo expone el riesgo propio frente a un entorno cibercriminal cada vez más complejo y desafiante.

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris