Alexa y Google Home pueden usarse para suplantaci贸n de identidad y espionaje en sus hosts

SmartSpies - iskorkaSecurity.com
Estimado de lectura : 2 minutes

Los expertos de SRLabs聽hablaron sobre una serie de problemas聽en Alexa y Google Home que los desarrolladores de Google no han podido resolver durante varios meses.聽Los atacantes pueden usar asistentes de voz para espiar conversaciones o enga帽ar a los usuarios para que obtengan informaci贸n confidencial.

En esencia, el malware desarrollado por terceros es una amenaza.聽Los propios investigadores han creado ocho aplicaciones: cuatro “habilidades” para Alexa y cuatro “acciones” para Google Home.聽Todos pasaron los controles de seguridad de Amazon y Google y se disfrazaron como simples aplicaciones de verificaci贸n de hor贸scopo, con la excepci贸n de una aplicaci贸n disfrazada como un generador de n煤meros aleatorios.聽De hecho, estas aplicaciones secretamente esp铆an a los usuarios o intentan robar sus contrase帽as.

Los vectores de ataque de phishing y spyware est谩n asociados con los backends de Amazon y Google que las compa帽铆as proporcionan a los desarrolladores de aplicaciones.聽Por lo tanto, los desarrolladores obtienen acceso a funciones que pueden usar para configurar los comandos del asistente de voz y sus respuestas.聽Los expertos descubrieron que al agregar la secuencia 鈥 .聽鈥(U + D801, punto, espacio) puede causar largos per铆odos de silencio, durante los cuales el asistente, sin embargo, permanece activo.

La idea de los investigadores era informar al usuario de un bloqueo de aplicaci贸n ficticio, agregando a esto 鈥 .聽“.聽Como resultado, habr谩 una larga pausa, y despu茅s de unos minutos se enviar谩 un nuevo mensaje de phishing al usuario, lo que har谩 que la v铆ctima crea que este mensaje de phishing no est谩 relacionado de ninguna manera con los anteriores.聽Por ejemplo, los videos a continuaci贸n demuestran c贸mo la aplicaci贸n del hor贸scopo informa un error, pero en realidad permanece activa, y eventualmente le pide al usuario una contrase帽a de Amazon o Google, falsificando el mensaje de actualizaci贸n.

En el primer video, puede notar que el indicador de estado azul de Alexa permanece activo y no se apaga, lo que significa que la aplicaci贸n anterior todav铆a est谩 activa y todav铆a est谩 tratando de tratar con ” “.聽“.

Tambi茅n la combinaci贸n 鈥 .聽禄Se puede usar para escuchar a los usuarios.聽En este caso, la combinaci贸n de caracteres se aplica despu茅s de que la aplicaci贸n maliciosa respondi贸 al comando del propietario del dispositivo.聽Esta vez ” .聽禄Se utiliza para mantener la actividad del dispositivo y registrar conversaciones circundantes, que se almacenan en los registros y se env铆an al servidor atacante para su procesamiento.聽Una demostraci贸n de tales ataques se muestra en los dos clips a continuaci贸n.

De hecho, la ra铆z del problema es que Amazon y Google inicialmente verifican las aplicaciones de Alexa y Google Home, pero no verifican sus actualizaciones posteriores.聽Peor a煤n, los expertos de SRLabs escriben que notificaron a ambos fabricantes los problemas a principios de este a帽o, sin embargo, todav铆a no han hecho nada y no han prohibido el uso de pausas largas, que pueden crearse usando ” .聽“.

Ahora que se public贸 el informe de expertos y los medios se interesaron, Amazon y Google se apresuraron a eliminar las aplicaciones maliciosas y聽dijeron聽que ya hab铆an tomado las medidas necesarias y ten铆an la intenci贸n de revisar los procesos de aprobaci贸n de “habilidades” y “acciones” para que esto no volviera a suceder.

Google se帽ala que ahora la compa帽铆a ya proh铆be y elimina cualquier “acci贸n” que viole las聽reglas聽, y tambi茅n tiene mecanismos para identificar ciertos tipos de comportamiento de aplicaci贸n (similar a los descritos por los investigadores) y su intersecci贸n.聽Adem谩s, Amazon y Google enfatizaron que los dispositivos no deber铆an, bajo ninguna circunstancia, solicitar contrase帽as de cuentas de usuario.

2 Comentarios

Deja un comentario o una pregunta, gracias por visitarme.

Este sitio usa Akismet para reducir el spam. Aprende c贸mo se procesan los datos de tus comentarios.