Un equipo de investigadores de seguridad de Checkmarx ha creado una "habilidad" que puede convertir a la asistente virtual de Amazon en Alexa en un dispositivo de escucha. Abusa de las capacidades de solicitud incorporadas del dispositivo para grabar su conversación indefinidamente y enviar las transcripciones a cualquier sitio web de terceros o Amazon.
Alexa ha sido diseñado para detectar sonido en todo momento para captar cualquier comando de voz dado por el usuario. Se supone que debe intercambiar datos con los servidores de Amazon para procesar los comandos solo después de escuchar la palabra de activación que es comúnmente 'Alexa'.
Una vez que Alexa responde al comando, se supone que debe solicitar el siguiente comando o finalizar la sesión. Sin embargo, los investigadores pudieron encontrar una solución para este sistema.
Crearon una habilidad calculadora inofensiva para resolver problemas matemáticos que incluye una tarea maliciosa oculta. Al iniciar una sesión con esta aplicación, se crea una segunda sesión que sigue escuchando y grabando sonidos sin informar al usuario que el micrófono todavía está activo.
Puede hacerlo por un período indefinido, y la habilidad también puede indicar al dispositivo que transcriba cualquier diálogo que recoja. Esta información puede enviarse a los creadores de la habilidad o a cualquier otro sitio web de terceros.
Muy aterrador, ¿verdad? Pero hay un sorteo: la luz azul en el dispositivo Echo permanece activa y se enciende cada vez que Alexa está escuchando. Las víctimas inconscientes pueden no notarlo, pero puede levantar sospechas.
Sin embargo, Checkmarx ya informó la vulnerabilidad que Amazon ha parcheado ahora. La compañía ha lanzado una actualización de Alexa que puede detectar tales sesiones y toma medidas para prevenirlas aún más.
0 Comentarios