Una reciente investigación publicada por expertos de Security Research Labs (SRLabs), concluyó que hackers pueden utilizar apps para los altavoces inteligentes Amazon Echo y Google Home y espiar a los usuarios, además de obtener contraseñas a través de mensajes falsos.
En el estudio se utilizaron dos tipos de programas para comprobar las maneras posibles de conseguir datos personales y escuchar conversaciones: por un lado con las apps de espionaje y por otro las de phishing.
Los resultados se obtuvieron gracias a que los especialistas en ciberseguridad de SRLabs crearon ocho aplicaciones maliciosas para las dos plataformas: Skills de Alexa y Actions de Google Home, que permiten desarrollar nuevas opciones para los altavoces.
Al instalar dichas apps, aprobadas por Amazon y Google respectivamente, éstas pudieron obtener información y audios sin que el usuario se enterara. Una vez descargadas, funcionaban correctamente, pero al desactivarlas, aún continuaban operando pero en modo silencioso.
De esta manera, las aplicaciones podían seguir usando el micrófono para escuchar la voz de los usuarios; las conversaciones eran registradas y guardadas en un servidor propiedad del desarrollador.
Se informó que los investigadores de SRLabs avisaron a Amazon y a Google antes de hacer pública la investigación; como respuesta, ambas compañías eliminaron las apps y cambiaron la metodología de aprobación para evitar la entrada de programas similares.
A pesar de las medidas tomadas por las compañías, los expertos de Security Research Labs, recomendaron a los usuarios de estos aparatos inteligentes, tener más cuidado con la descarga de aplicaciones.
Sabías que:
Siete de las apps maliciosas creadas por la compañía de ciberseguridad SRLabs, estaban basados en recitar los horóscopos y uno era un generador de números aleatorios.
Al ser aprobados por Amazon y Google, estos programas podían obtener información y escuchar audios personales.
Las apps de espionaje funcionan cuando el usuario dice un comando al altavoz, la aplicación responde con lo requerido y luego se queda en silencio.
Sin embargo, los programas recogen las conversaciones a su alrededor de manera secreta y las envían a sus desarrolladores.
Las aplicaciones para el phishing responden al comando como si hubiera un error, después se silencia y aparenta estar desactivada.
Tras unos minutos, se activa e informa que hay una actualización disponible, por lo cual necesita la contraseña para actualizarse.
El estudio fue informado a Google y Amazon para que tomen medidas y actúen frente a estos posibles ataques.
LEG