Alexa vs Alexa demuestra cómo pueden hackear tu dispositivo inteligente y escuchar todo lo que dices
Alexa versus Alexa (AvA) es un nuevo ataque a este servicio que permitiría al hacker escuchar a escondidas a los usuarios y hasta hacer compras no deseadas. Alexa, tristemente, es muy hackeable. Desde Amazon nos informan que este problema ya está resuelto.
Si tienes en tu casa un Amazon Echo puedes ser víctima de este nuevo hackeo conocido como Alexa versus Alexa, o simplemente AvA.
Los dispositivos Amazon Alexa cuentan con una gran vulnerabilidad. Y es que es realmente sencillo para los hackers hacerse con un dispositivo Alexa y controlar los productos IoT conectados, espiar las conversaciones y robar datos personales. El hackeo de este dispositivo requiere un solo clic en un enlace malicioso.
Un dispositivo que siempre está escuchando siempre suscitará problemas de privacidad y seguridad en la red.
Pues bien, este nuevo ataque, AvA, ha sido descubierto por los investigadores de RHUL Sergio Esposito y Daniele Sgandurra y nos explican en qué consiste: “ aprovecha archivos de audio que contienen comandos de voz y métodos de reproducción de audio de forma ofensiva, para obtener el control de los dispositivos Amazon Echo durante un tiempo prolongado".
"La auto activación del dispositivo Echo ocurre cuando un archivo de audio reproducido por el propio dispositivo contiene un comando de voz”, añaden.
Según investigadores de seguridad de Royal Holloway, Universidad de Londres, se trata de una vulnerabilidad ya parcheada con la que una persona con malas intenciones podría acceder a un altavoz inteligente y transmitir comandos a sí mismo o a otros altavoces con Alexa.
"Hemos comprobado que, a través de AvA, los atacantes pueden controlar electrodomésticos inteligentes dentro del hogar, comprar artículos no deseados, manipular calendarios vinculados y espiar al usuario", explica Esposito.
Al hilo de este ataque, también han descubierto dos vulnerabilidades adicionales de Echo, que han denominado como Volumen completo y Romper cadena de etiquetas. La primera de ellas aumenta la tasa de reconocimiento de comandos de autoemisión, duplicándola de media, lo que permite a los atacantes realizar comandos de autoemisión adicionales.
Por otro lado, Romper cadena de etiquetas, aumenta el tiempo que una habilidad puede ejecutarse sin la interacción del usuario, de ocho segundos a más de una hora, lo que permite a los atacantes configurar escenarios de gran magnitud.
Ambos investigadores publicaron este problema y se pusieron en contacto con Amazon, quien a través de su programa de investigación de vulnerabilidades, que las calificó con una puntuación de gravedad media.
Por nuestra parte, Amazon ha compartido que actualmente el problema se encuentra resuelto. "Hemos solucionado el asunto de la activación automática remota con Alexa Skills causado por periodos prolongados de inactividad como resultado de tags rotos, como demostraron los investigadores"
Otros artículos interesantes:
- Cómo programar a Alexa para que realice lo que quieras cuando escuche un sonido
- 'Alexa, aterriza en la Luna': el asistente de Amazon se usará en la misión Artemisa de la NASA
- Así puedes cambiar la voz a tu dispositivo con Alexa
- El Roborock S8 Pro Ultra se encarga de la limpieza de tu hogar para que tú no tengas que hacerlo
Descubre más sobre Carolina González Valenzuela, autor/a de este artículo.
Conoce cómo trabajamos en Computerhoy.