Las bocinas inteligentes Amazon Echo y Google Home permiten que las apps creadas por terceros y aprobadas por Google y Amazon, puedan espiar a sus usuarios además de intentar adquirir las contraseñas de estos a través de phishing según un estudio.
Un grupo de investigadores de SRLabs descubrió dos posibles ataques de piratería que pueden ocurrir en las bocinas inteligentes, aplicables a Amazon Echo y Google Home, y que permiten a los hackers adquirir información personal.
Desde SRLabs desarrollaron varias apps para cada plataforma (Skills de Alexa y Actions de Google Home), pero en realidad algunas ocultaban códigos maliciosos con el fin de comprobar cuáles son las posibles dimensiones de estos ataques. Todas las aplicaciones superaron los análisis de seguridad de Google y Amazon sin problemas, pero posteriormente los desarrolladores modificaron las aplicaciones.
Los investigadores pudieron comprometer los datos de los usuarios de dos maneras, solicitando y recolectando los datos personales además de las contraseñas y espiando a los usuarios después de que crean que el altavoz ha dejado de escuchar.
Durante el estudio se utilizaron dos tipos de apps para comprobar las maneras que existían para hacerse con datos personales de los usuarios: por un lado están las de espionaje y por otro las de phishing.
Las apps de espionaje funcionan de la siguiente manera: el usuario dice un comando a la bocina inteligente, la aplicación responde con lo requerido y después se queda en silencio. En principio estas aplicaciones dejan de funcionar una vez han cumplido con su comando, sin embargo las aplicaciones espías después de cumplir con su función recogen las conversaciones de su alrededor y se las envían a sus desarrolladores.
Aquellas apps para el phishing funcionan de una manera distinta, ya que responden al comando como si hubiera un error en el mensaje debido a que esa función no estaba disponible en el país del usuario, acto seguido se silencia aparentando estar desactivada. A los pocos minutos se activa y le dice al usuario que hay una actualización disponible y que necesita la contraseña para actualizarse.
El estudio ya fue ofrecido a Google y Amazon para que tomen medidas y actúen frente a estos posibles ataques de hackers. Además los investigadores dicen que los usuarios tienen que concienciarse más de las aplicaciones de sus altavoces inteligentes diseñadas para hacerse con sus datos personales.
RL