Security Research Labs, un colectivo berlinés de investigación de hacking, ha puesto en jaque a los altavoces inteligentes de Amazon y Google comprometiéndolos de una forma nunca vista. ¿Cómo? Mediante el uso de aplicaciones modificadas para espiar muy hábilmente a los usuarios.
Esta nueva forma de ataque enmarcable en las prácticas de tipo phishing, arranca construyendo diversas aplicaciones destinadas a ofrecer predicciones del horóscopo y generar números aleatorios. Funciones, a priori, inofensivas.
El riesgo surge cuando esas aplicaciones, aprobadas para los altavoces Amazon Echo y Google por las compañías responsables, actualizan sus habilidades para transformarse en lo que los investigadores de ciberseguridad de SRL han bautizado como espías inteligentes. Informadores en la sombra capaces de escucharnos sin llamar la atención y robar nuestras contraseñas con naturalidad.
El factor humano siempre presente
En la mayoría de ocasiones da lo mismo el dispositivo que usemos y la seguro que sea: uno de los mayores riesgos para la cibrseguridad es el factor humano. Lo que una persona puede llegar a hacer, consciente o inconscientemente, poniendo en peligro la integridad de su información. De hecho, un estudio llevado a cabo hace un par de años aseguraba que un 46 % de los incidentes de seguridad registrados en las empresas eran causados por los empleados.
En el caso de la investigación llevada a cabo por SRL, los ataques tenían dos principales propósitos. Uno de ellos era escuchar, tras supuestamente desactivarse, todo lo que se decía durante unos segundos para detectar ciertas palabras clave y, si eran pronunciadas, transcribir lo escuchado y enviarlo a sus servidores.
"Los espías inteligentes socavan la suposición de que las aplicaciones de voz sólo están activas mientras dialogan con el usuario", comentaba a BBC News el científico jefe de SRL, Karsten Nohl. La luz de los altavoces seguía encendida mientras las aplicaciones espiaban, lo que significa que estaban en funcionamiento, pero no todos los usuarios son plenamente conscientes de este importante hecho.
El ataque más preocupante es el que sin duda podemos bautizar como 'phishing' mediante altavoces inteligentes. La aplicación espía decía al usuario: "Hay una actualización importante de seguridad disponible para su dispositivo. Por favor, diga 'Iniciar actualización', seguido de su contraseña". Todo lo que el usuario decía después de "Iniciar", es decir, su contraseña, quedaba registrado por el software y era transmitido al responsable del mismo.
Es por eso que Nohl apunta: "Los usuarios deberían sospechar mucho cuando un altavoz inteligente pide una contraseña, algo no propio de una aplicación normal". Un [consejo equivalente a los que hay que tener en cuenta para no ser víctima de un ataque de phishing más tradicional.
Desde Security Research Labs avisaron de sus pruebas a Google y Amazon, las cuales bloquearon las aplicaciones. Según apunta BBC, Google dijo que además de eliminar los espías inteligentes de SRL estaba poniendo en marcha "mecanismos adicionales para evitar que estos problemas ocurran en el futuro". Amazon, además de hacer lo propio con las aplicaciones manipuladas, aseguró que realiza "revisiones de seguridad como parte del proceso de certificación de habilidades" y que han puesto "medidas de mitigación para prevenir y detectar este tipo de comportamiento de habilidad y rechazarlo o eliminarlo cuando se identifique".
Ver todos los comentarios en https://www.genbeta.com
VER 0 Comentario