Logo Computerhoy.com

Alexa vs Alexa demuestra cómo pueden hackear tu dispositivo inteligente y escuchar todo lo que dices

Alexa versus Alexa (AvA) es un nuevo ataque a este servicio que permitiría al hacker escuchar a escondidas a los usuarios y hasta hacer compras no deseadas. Alexa, tristemente, es muy hackeable. Desde Amazon nos informan que este problema ya está resuelto.

Amazon Alexa

DepositPhotos

Si tienes en tu casa un Amazon Echo puedes ser víctima de este nuevo hackeo conocido como Alexa versus Alexa, o simplemente AvA. 

Los dispositivos Amazon Alexa cuentan con una gran vulnerabilidad. Y es que es realmente sencillo para los hackers hacerse con un dispositivo Alexa y controlar los productos IoT conectados, espiar las conversaciones y robar datos personales. El hackeo de este dispositivo requiere un solo clic en un enlace malicioso.

Un dispositivo que siempre está escuchando siempre suscitará problemas de privacidad y seguridad en la red

Pues bien, este nuevo ataque, AvA, ha sido descubierto por los investigadores de RHUL Sergio Esposito y Daniele Sgandurra y nos explican en qué consiste: “ aprovecha archivos de audio que contienen comandos de voz y métodos de reproducción de audio de forma ofensiva, para obtener el control de los dispositivos Amazon Echo durante un tiempo prolongado".

Amazon Echo

"La auto activación del dispositivo Echo ocurre cuando un archivo de audio reproducido por el propio dispositivo contiene un comando de voz”, añaden.

Según investigadores de seguridad de Royal Holloway, Universidad de Londres, se trata de una vulnerabilidad ya parcheada con la que una persona con malas intenciones podría acceder a un altavoz inteligente y transmitir comandos a sí mismo o a otros altavoces con Alexa.

"Hemos comprobado que, a través de AvA, los atacantes pueden controlar electrodomésticos inteligentes dentro del hogar, comprar artículos no deseados, manipular calendarios vinculados y espiar al usuario", explica Esposito.

Bombilla LED Inteligente con Alexa

Bombilla LED Inteligente con Alexa

Bombilla LED Inteligente con iluminación RGB, ajustable y multicolor. Incorpora WiFi y funciona con asistentes de voz como Alexa y Google Home.

Cómprala al mejor precio

Al hilo de este ataque, también han descubierto dos vulnerabilidades adicionales de Echo, que han denominado como Volumen completo y Romper cadena de etiquetas. La primera de ellas aumenta la tasa de reconocimiento de comandos de autoemisión, duplicándola de media, lo que permite a los atacantes realizar comandos de autoemisión adicionales.

Por otro lado, Romper cadena de etiquetas, aumenta el tiempo que una habilidad puede ejecutarse sin la interacción del usuario, de ocho segundos a más de una hora, lo que permite a los atacantes configurar escenarios de gran magnitud.

Ambos investigadores publicaron este problema y se pusieron en contacto con Amazon, quien a través de su programa de investigación de vulnerabilidades, que las calificó con una puntuación de gravedad media.

Por nuestra parte, Amazon ha compartido que actualmente el problema se encuentra resuelto. "Hemos solucionado el asunto de la activación automática remota con Alexa Skills causado por periodos prolongados de inactividad como resultado de tags rotos, como demostraron los investigadores"

Conoce cómo trabajamos en Computerhoy.