Skip to main content

Si tu Amazon Echo o Google Home actúan de forma extraña, es posible que hayan sido hackeados

Amazon Echo (3.ª generación)

31/10/2019 - 19:45

Hasta ahora se sabe que Google escucha tus conversaciones y que las graba y transcribe detalladamente. Hasta Apple

Y cómo no, Amazon. Pero que las grandes tecnológicas tengan acceso a tus datos y conversaciones privadas parece no ser una sorpresa para nadie cuando debería ser cuanto menos, sospechoso.

Lo peor es que se acaba de descubrir que, a través de Alexa y Google Home, hay desarrolladores que crean "habilidades" para Alexa y "acciones" para Google Home con las que se pueden cometer acciones de phishing en una serie de comandos con los que expones tu contraseña u otros datos personales —o simplemente transcriben tus conversaciones

 

 

Una investigación de SRLabs ha conseguido demostrar 2 tipos de engaños en estos dispositivos de Amazon y Google

  1. Solicitando datos personales como la contraseña haciéndote creer que es para actualizar el sistema
  2. Escuchando tu conversación aunque le hayas pedido que detuviese la aplicación. Es decir, una vez ejecutado, no atiende a "Stop".

Los smart spies —el nombre que se les ha dado a los hackers de dispositivos inteligentes como los asistentes de voz o tu propio móvil— se aprovechan de 3 mecanismos de los propios aparatos: la respuesta de retorno cuando pide que repitas lo que has dicho porque no lo ha entendido; abusar de la función de "Stop" o "Detener"; y, además, hacer que siga funcionando cuando ya se ha ejecutado o insertar largas pausas de respuesta para que le de tiempo a entrar en el sistema. 

7 cosas que puedes encargar a un hacker y cuánto te costarán

Pero hay algo que debes tener en cuenta: ni Amazon ni Google te pedirían NUNCA que dijeses tu contraseña "a los cuatro vientos" sin ningún método de seguridad

Cómo pueden robarme la contraseña a través de Alexa

STLabs demuestra con qué habilidades de Alexa puede un hacker aprovecharse de ti y recopilar datos personales. El diálogo sería algo similar a esto: 

  • Usuario: "Inicia mi horóscopo de la suerte".
  • Alexa: "Esta habilidad no está disponible en tu país". 

Al parecer, el usuario simplemente hace una solicitud inocente a Alexa como "pedirle el horóscopo". Sin embargo, hay varias cosas extrañas tras este comando de voz. Primero, Alexa no hace su saludo de bienvenida —como puedes ver en el vídeo a continuación— y en su lugar, devuelve un error con el que debería detenerse el asistente. Lo que hace es aprovecharse de las largas pausas de silencio para entonces decirle al usuario que tiene una actualización disponible y le pide su contraseña de Amazon

  • Alexa: "Hay una nueva actualización para su dispositivo Alexa disponible. Para comenzar, por favor, di 'comenzar' seguido de tu contraseña de Amazon".
  • Usuario: "Comenzar. 1dolarfamily58" (contraseña de la demostración).
  • Alexa: "Gracias. La actualización comenzará en breves". 

Las 11 estafas online más sofisticadas de las que puedes ser víctima hoy en día en la red

Con esta habilidad, parece que Alexa sólo se interesa por la contraseña de Amazon —más que suficiente— pero también podría solicitarte tu correo electrónico, tu tarjeta de crédito, o cualquier otra información de tus cuentas vinculadas con las que no dudes en contestar si tu asistente "de confianza" te pregunta.

Puedes consultar el vídeo completo de la demostración (con el código que utilizaría el hacker) a continuación: 

Lo mismo sucedería con un dispositivo de Google Home para conseguir tu contraseña de Google, pudiendo acceder a todas tus cuentas relacionadas. 

Cómo pueden escuchar mis conversaciones a través de Google Home

Al igual que para hacer phishing de contraseñas han desarrollado habilidades y acciones de los aparatos para poder escuchar una conversación entera, o hasta que pase un determinado tiempo, en el caso de Google Home, también aplicable a Alexa, una vez realizas la llamada de "OK, Google" obtienen una señal con la que responderán con normalidad a tu pregunta. Sin embargo, no detendrán la aplicación cuando Google diga "Adiós".

Como puedes ver en el vídeo a continuación, en el script de código, el diálogo de la demostración se transcribe completo registrando incluso el día, mes, año y hora de cada intervención del usuario.

Cómo convertir tu vivienda en un hogar inteligente por menos de 150 euros 

Ver ahora: