Investigadores escabulleron exitosamente aplicaciones maliciosas en las defensas de dos grandes compañías fabricantes de cornetas en un examen de sus prácticas de seguridad.
Estas aplicaciones, de acuerdo a los expertos del Security Research Lab, están diseñadas para atacar información personal como grabaciones de voz y contraseñas de usuarios de Google Home y Amazon Echo al hacerse pasar por softwares que leen el horóscopo a través de comandos de voz.
Las aplicaciones solo fueron eliminadas una vez que los investigadores hicieron saber a las compañías afectadas que estaban realizando el examen de seguridad.
Las ocho de las aplicaciones desarrolladas por los investigadores fueron capaces de pasar las defensas de Amazon y Google y fueron aprobadas por los equipos de moderación de las compañías – un hecho que, de acuerdo a los expertos, invita a realizar un escrutinio mayor en los estándares de seguridad y privacidad de los dispositivos inteligentes.
“Mientras la funcionalidad de las cornetas inteligentes crecen, también lo hace la superficie de ataque para que los hackers la exploten”, escribieron los investigadores en su reporte.
“Las debilidades permiten que el hacker busque información sensible y espíe a los usuarios. Creamos aplicaciones de voz para demostrar ambos hackeos en las dos plataformas de los dispositivos, convirtiendo a los asistentes en ‘Espías Inteligentes’”.
Una app, por ejemplo, fue diseñada para hacer creer a los usuarios que el aparato no estaba escuchando a través del anuncio de un error falso luego de haber sido “despertado” por una palabra clave de mentira.
En realidad, no obstante, la aplicación permanece abierta con un micrófono incorporado que permite a los hackers escuchar conversaciones subsecuentes.
Otro ataque envía una notificación falsa que les pide a los usuarios actualizar los sistemas a través del deletreo de contraseñas. La transcripción es luego enviada a un servidor remoto.
“Todas las acciones en Google deben seguir las políticas de nuestros desarrolladores y prohibimos y eliminamos cualquier acción que viole estas políticas. Tenemos procesos de revisión para detectar cualquier tipo de comportamiento como el descrito en este reporte y hemos eliminado las acciones que encontramos de este investigador”, dijo un vocero de Google a MailOnline.
Estamos tomando mecanismos adicionales para prevenir que estos problemas vuelvan a ocurrir en el futuro.
Los investigadores consideran que este estudio debería servir como “despertador” para los usuarios de dispositivos para el hogar inteligentes y con micrófonos incorporados que podrían no estar al tanto de que esta tecnología puede estar siendo usada por hackers.
“Las implicaciones de seguridad de un micrófono conectado a internet que escucha todo lo que dices son mucho más grandes de lo que antes se entendió”, escribieron los investigadores.
“Los usuarios deben estar al tanto del potencial de aplicaciones de voz maliciosas que abusan las cornetas inteligentes. El uso de una nueva aplicación de voz debería ser hecho con el mismo nivel de cuidado como al instalar una nueva app en tu Smartphone”.
No es la primera vez que Amazon y Google se ven envueltos por problemas de seguridad de este tipo. Recientemente se descubrió que unos contratistas escuchaban grabaciones sacadas de aplicaciones de voz de asistencia.
Lo mismo sucedió con Apple, Facebook y Microsoft.