Los investigadores de seguridad informática de CheckPoint han identificado un fallo de seguridad en Amazon Alexa que podría haber permitido a los atacantes instalar y eliminar aplicaciones, escuchar grabaciones de voz y robar la información personal de los usuarios. Además, los atacantes podrían haber ejecutado esto eficazmente sin dejar rastro.
Los investigadores de CheckPoint identificaron la falla y la reportaron a Amazon antes de que se confirmaran los casos y se explotaran “in-the-wild”. Considerando que los dispositivos de IoT se han convertido en parte integral de muchos hogares modernos, esta falla, si es explotada, podría permitir a los atacantes grabar conversaciones personales y datos de los usuarios, comprometiendo completamente su seguridad.
Los atacantes construirían un enlace personalizado, especialmente diseñado para Amazon, y lo enviarían a los usuarios objetivo a través del phishing. Una vez que se hace clic en el enlace, los atacantes tendrían acceso a la lista de aplicaciones y habilidades del dispositivo Alexa.
Además, los atacantes también pueden acceder al token de autorización, que les permitiría añadir y eliminar habilidades o aplicaciones según su preferencia.
Los hackers podrían simplemente eliminar una habilidad y reemplazarla con una frase maliciosa, comprometiendo así el dispositivo. Después de eso, cuando el usuario habla al dispositivo para iniciar esa habilidad, en realidad se iniciará la frase maliciosa de los hackers. Además, los usuarios no tendrían forma de saber que su dispositivo está comprometido y seguirían usando Alexa.
Por ejemplo, los usuarios pueden seguir conversando sobre sus datos bancarios, registros de salud y otros, que serían registrados por los atacantes.
El profesor Alan Woodward de la Universidad de Surrey mencionó que Amazon es cauteloso con las habilidades disponibles en la tienda de habilidades de Alexa, ya que cualquier brecha podría comprometer su IA y afectar su reputación. Amazon suele hacer las revisiones de seguridad adecuadas antes de aprobar y publicar las habilidades en la tienda.
Esta falla de seguridad es bien conocida y bastante sorprendente dado que el equipo de seguridad de Amazon no la detectó. Afortunadamente, los investigadores de CheckPoint fueron la primera entidad conocida en identificar esta falla, pero podría haber sido descubierto primero por actores maliciosos.
Amazon ya ha corregido este fallo de seguridad, y los usuarios están ahora a salvo de estas amenazas. La mayoría de los dispositivos de Amazon se actualizarán automáticamente. Sin embargo, si está actualizando manualmente sus dispositivos de Amazon, asegúrese de que sus asistentes virtuales estén actualizados para mantener su privacidad y la protección de sus datos.
