Una investigación de la firma de seguridad SRLabs ha revelado cómo ciertas vulnerabilidades en los altavoces inteligentes basados en los asistentes de Amazon y Google pueden provocar que se espíen todas nuestras conversaciones.
Estos expertos desarrollaron varias aplicaciones aparentemente inocuas que pasaron los controles de las tiendas de aplicaciones para esos altavoces tanto en Amazon como en Google. Al activarlas esas aplicaciones se quedan permanentemente escuchando todo lo que ocurre alrededor, con lo que la amenaza para la privacidad es importante.
Cuidado con los skills y las acciones que siguen escuchando aunque no lo parezca
Ya sabíamos que los equipos de Amazon y Google acceden a parte de las las grabaciones de los usuarios con el objetivo de mejorar el comportamiento de estos altavoces, pero ese acceso restringido está a mucha distancia de lo que pueden lograr las aplicaciones maliciosas descubiertas.
Los responsables de la empresa alemana Security Research Labs (SRLabs) desarrollaron ocho aplicaciones, cuatro "skills" de Alexa y cuatro "acciones" de Google Home, que pasaron los controles de seguridad de ambas tiendas de aplicaciones.
Las herramientas eran aparentemente inocentes: servían por ejemplo para consultar el horóscopo o para generar números aleatorios, pero aunque cumplían con esa función, al activarlas los usuarios no se podían dar cuenta de que esas aplicaciones se quedaban escuchando lo que pasaba y recopilando todos esos clips de audio de forma indefinida.
Además, señalan los investigadores, estas aplicaciones trataban de recopilar contraseñas que usaran los usuarios en distintas situaciones. Para ellos simulaban tener un problema con la petición, que decían que no estaba disponible en el país.
A partir de ahí quedaban en silencio unos instantes para luego simular con la voz de estos asistentes que una actualización estaba disponible y que introdujesen su usuario y contraseña para instalar dicha actualización.
Las vulnerabilidades se aprovechan de ciertos comportamientos no aceptados por los altavoces, por ejemplo cuando se les pide que pronuncien la combinación de caracteres "�. " (U+D801, punto, espacio) que provoca que los altavoces se queden en silencio incluso cuando las aplicaciones están funcionando. Con eso las apps maliciosas logran que la aplicación siga ejecutándose (y escuchando) en el altavoz aunque para el usuario estas han dejado de funcionar porque el altavoz deja de hablar.
SRLabs acabó avisando tanto a Google como a Amazon del problema. Ambas retiraron esas aplicaciones tras el aviso, y confirmaron que están trabajando en los procesos de validación de estas herramientas para evitar que tengan ese tipo de acceso en el futuro.
Un portavoz de Google por ejemplo indica que "todas las Acciones en Google deben seguir nuestras políticas para desarrolladores, y prohibimos y eliminamos cualquier Acción que incumpla estas políticas. Tenemos procesos de revisión para detectar comportamientos como el descrito en este informe, y hemos eliminado las Acciones descubiertas por estos investigadores. Estamos poniendo en marcha mecanismos adicionales para prevenir que ocurran este tipo de problemas en el futuro".
Vía | Ars Technica
Más información | SRLabs
Ver 12 comentarios
12 comentarios
dabelo
Cuando la gente deje de comprarlos, los regalaran al comprar un Pixel o una Kindle ,les interesa demasiado estar en casa de las personas.
Civit
Qué pesados sois en los comentarios con este tema. Mucho quejarse de los altavoces inteligentes de Amazon/Google pero luego que si smartphone, smart tv, smart car, hasta la olla de cocina smart si hace falta.
Y sorpresa, todos tienen micrófono y no sabes lo que graban ni lo que hacen las apps que bajas.
Hay un claro problema de privacidad, pero esto solo es la punta del iceberg. Es más, seguramente sea más interesante vuestro historial de internet que llevais más de una década regalando que el dialogo cuñadil que tengais en la cena y esto os pueda grabar.
Usuario desactivado
Es decir, que algunas apps hacen lo mismo que hace Google o Amazon de serie, pero esas apps son maliciosas, no como lo que viene de fábrica. ¡Ja!
uche
No hay que ser muy espabilado para darse cuenta en el vídeo que el anillo de Alexa sigue encendido indicando que está escuchando... Todo muy avanzado
zivenx
A google se le cuela todo, no revisan nada.
Pegaxsus
Bueno, por suerte el problema se reduce a no instalar aplicaciones, como pasa en los teléfonos, y no que sea vulnerable por estar encendido.