La DEFCON 2018, es una convención donde se reúnen especialistas y entusiastas de seguridad informática, y encuentran vulnerabilidades en dispositivos que son muy usados. Hace poco les contamos del equipo que descubrió el bug en aplicaciones Android preinstaladas, que permitían que estos dispositivos nuevos de paquete fuesen hackeados. Ahora, un equipo de investigadores ha descubierto que el famoso Echo de Amazon puede configurarse para espiar a sus usuarios.

Los responsables de descubrir esta vulnerabilidad, ha sido la empresa china Tencent Holdings, que desvelaron que el Amazon Echo, la bocina inteligente de la marca,  puede configurarse y hackear otro dispositivo que está conectado en la misma red.

Tal y como informa, Wired,los especialistas lograron hackear otro altavoz inteligente y grabar y transmitir todo lo que ocurría, sin que el usuario lo notara.

Pero, no te preocupes, los científicos notificaron a Amazon de este bug y la empresa ya ha tomado las medidas correctivas necesarias. Además, no cualquiera puede hacer tal hazaña con un simple ataque remoto.

Los investigadores Wu Huiyu y Qian Wenxiang, hicieron modificaciones a nivel de hardware en un Echo estándar, primero retiraron el chip de memoria flash para modificar su firmware y tomar a la información de acceso.

Luego, colocaron el Echo hackeado en red, y mediante protocolos de comunicación de Amazon lograron reproducir los sonidos, así como hacer grabaciones.

Después de varios meses de investigación, hackeamos exitosamente el Amazon Echo al usar múltiples vulnerabilidades en el sistema Amazon Echo, y logramos escuchar a distancia”, dijeron los investigadores en un comunicado. “Cuando el ataque tiene éxito, es posible controlar al Amazon Echo para escuchar y enviar los datos de voz a través de la red”.

Aunque, el equipo de Tencent, notifico a Amazon lo sucedido, no deja de ser preocupante que estos dispositivos de una empresa de renombre tenga tantas vulnerabilidades.

Amazon, por su parte, afirma que la vulnerabilidad de Alexa ha sido reparada, y asegura que para realizar este truco requiere que un individuo tenga acceso físico sobre al menos un dispositivo.