| Trend Micro
¿Pueden los dispositivos Alexa y Google Home ser usados para phishing y de paso espiar a sus usuarios?
Palabras como “Activación”, “Detener”, entre otras. Pueden ser la puerta de entrada para los ciberdelincuentes.
Los investigadores de Security Research Labs (SRL) demostraron cómo los dispositivos Alexa y Google Home pueden usarse para explotar problemas de seguridad en ciertas funciones de los dispositivos que se operan a través de las aplicaciones Amazon Alexa y Acciones en Google Home.
El informe mostró de qué manera se pueden robar datos confidenciales como las credenciales de la cuenta y la información de pago a través del siguiente procedimiento:
- Crear una aplicación benigna y para ser revisado por Amazon o Google
- Modificar la aplicación después de que ha sido revisada y aprobada. Luego, establezca un mensaje de bienvenida para aparecer como un error (por ejemplo, “Esta habilidad no está disponible actualmente en su país”) y añadiendo pausas largas (por ejemplo, tener la aplicación leer caracteres impronunciables)
- Engañar al usuario mediante el establecimiento de mensajes de la aplicación (por ejemplo, “Una importante actualización de seguridad está disponible para su dispositivo. Por favor, diga iniciar la actualización seguido de su contraseña.”)y así, le pedirá al usuario a revelar datos sensibles
- Enviar los datos capturados como un valor ranura (entradas de usuario a través enunciados) a los atacantes
Para mostrar cómo los actores de amenazas pueden espiar a los propietarios del dispositivo, los investigadores usaron una variación de las técnicas utilizadas para robar datos. En este caso, utilizaron acciones o intenciones que cumplen con solicitudes habladas por el usuario.
En particular, el ataque podría utilizar las funciones activadas por las palabras “detener” y otras que pueden ser de interés para los actores de la amenaza (es decir, “correo electrónico”, “contraseña”, “dirección”). Después del proceso de revisión, la aplicación se modifica para que la función de “detener” active la función “adiós” seguida de una pausa larga para engañar al usuario haciéndole creer que la aplicación se ha cerrado. Una vez que un usuario dice frases con palabras de activación establecidas por los atacantes, se guardarán como valores de espacio y luego se enviarán a los atacantes.
La investigación de SRL demuestra que los dispositivos de IoT no son inmunes a las vulnerabilidades y los riesgos de privacidad. El año pasado, un equipo de investigadores informó sobre la “sentadilla por voz”, una técnica similar por error tipográfico, donde los dispositivos Alexa y Google Home pueden ser engañados para que abran aplicaciones propiedad de atacantes en lugar de aplicaciones legítimas.
Los ataques que Trend Micro vio son solo una señal de lo que vendrá en el panorama de amenazas de IoT, y se espera que se diversifiquen en técnicas y objetivos a medida que la adopción de IoT continúe aumentando. Los riesgos de privacidad y seguridad no solo se limitan en el hogar, sino también en la ubicuidad de IoT en el lugar de trabajo y el impacto en las empresas cuando se ven comprometidos.
Asegurar el IoT también puede considerarse una responsabilidad compartida. Los usuarios y las empresas, por su parte, deben practicar la higiene de la seguridad: actualizar las credenciales, asegurar los puntos de acceso que utilizan los dispositivos IoT (por ejemplo, enrutadores) y aplicar los últimos parches, entre otros. Los proveedores, fabricantes y desarrolladores de aplicaciones de terceros también deben incorporar privacidad y seguridad en los productos que desarrollan y distribuyen.