Un reporte de investigación reveló que Amazon y Google no solo utilizan una especie de empleados para “espiar” las grabaciones de sus usuarios a través de Alexa y Google Home, pues existen una serie de aplicaciones de terceros desarrolladas con fines maliciosos y lo peor de todo es que al parecer Google y Amazon lo saben.
Un grupo de aplicaciones espías inteligentes se desarrollaron por terceros para ser implementados por Alexa y Google Assistant con el fin de ejecutar un código malicioso que obtendría los datos de los usuarios. Las aplicaciones identificadas como Smart Spies se detectaron por los hackers de sombrero blanco de la compañía de seguridad SRLabs.
De acuerdo con los investigadores, las aplicaciones pueden hacer phishing y acceder a los credenciales a través de aplicaciones de voz con solo solicitar una contraseña al usuario. SRLabs compartió un video demostrativo con Alexa y Google Home.
“Siempre estuvo claro que esos asistentes de voz tienen implicaciones de privacidad, ya que Google y Amazon reciben su discurso, y esto posiblemente se desencadena por accidente a veces”, dijo Fabian Bräunlein, consultor senior de seguridad de SRLabs a ArsTecnica. “Ahora demostramos que, no solo los fabricantes, sino … también los hackers pueden abusar de esos asistentes de voz para entrometerse en la privacidad de alguien”.
Skills For Alexa y Actions for Google Home, son las aplicaciones que explotan vulnerabilidades de los asistentes inteligentes de Amazon y Google y hacerse con las credenciales de usuarios. Los hackers probaron con la frase: “Hola Alexa, pide a Mi Lucky Horóscopo que me dé el horóscopo de Tauro” o “OK Google, pide a Mi Lucky Horóscopo que me dé el horóscopo de Tauro”.
El software malicioso envió un mensaje de error, sin embargo, en realidad internamente cargó la información de las credenciales del usuario a través de phishing: ” Amazon o Google revisan la seguridad de la aplicación de voz antes de que se publique. Cambiamos la funcionalidad después de esta revisión, que no solicita una revisión de segunda ronda”.
Los investigadores informaron de los bugs a Amazon y Google, quienes retiraron las apps maliciosas de sus tiendas de aplicaciones y notificaron que se encontraban trabajando en el proceso de revisión.