Alexa y Google Home pueden usarse para suplantación de identidad y espionaje en sus hosts
Los expertos de SRLabs hablaron sobre una serie de problemas en Alexa y Google Home que los desarrolladores de Google no han podido resolver durante varios meses. Los atacantes pueden usar asistentes de voz para espiar conversaciones o engañar a los usuarios para que obtengan información confidencial.
En esencia, el malware desarrollado por terceros es una amenaza. Los propios investigadores han creado ocho aplicaciones: cuatro «habilidades» para Alexa y cuatro «acciones» para Google Home. Todos pasaron los controles de seguridad de Amazon y Google y se disfrazaron como simples aplicaciones de verificación de horóscopo, con la excepción de una aplicación disfrazada como un generador de números aleatorios. De hecho, estas aplicaciones secretamente espían a los usuarios o intentan robar sus contraseñas.
Los vectores de ataque de phishing y spyware están asociados con los backends de Amazon y Google que las compañías proporcionan a los desarrolladores de aplicaciones. Por lo tanto, los desarrolladores obtienen acceso a funciones que pueden usar para configurar los comandos del asistente de voz y sus respuestas. Los expertos descubrieron que al agregar la secuencia “ . ”(U + D801, punto, espacio) puede causar largos períodos de silencio, durante los cuales el asistente, sin embargo, permanece activo.
La idea de los investigadores era informar al usuario de un bloqueo de aplicación ficticio, agregando a esto “ . «. Como resultado, habrá una larga pausa, y después de unos minutos se enviará un nuevo mensaje de phishing al usuario, lo que hará que la víctima crea que este mensaje de phishing no está relacionado de ninguna manera con los anteriores. Por ejemplo, los videos a continuación demuestran cómo la aplicación del horóscopo informa un error, pero en realidad permanece activa, y eventualmente le pide al usuario una contraseña de Amazon o Google, falsificando el mensaje de actualización.
En el primer video, puede notar que el indicador de estado azul de Alexa permanece activo y no se apaga, lo que significa que la aplicación anterior todavía está activa y todavía está tratando de tratar con » «. «.
También la combinación “ . »Se puede usar para escuchar a los usuarios. En este caso, la combinación de caracteres se aplica después de que la aplicación maliciosa respondió al comando del propietario del dispositivo. Esta vez » . »Se utiliza para mantener la actividad del dispositivo y registrar conversaciones circundantes, que se almacenan en los registros y se envían al servidor atacante para su procesamiento. Una demostración de tales ataques se muestra en los dos clips a continuación.
De hecho, la raíz del problema es que Amazon y Google inicialmente verifican las aplicaciones de Alexa y Google Home, pero no verifican sus actualizaciones posteriores. Peor aún, los expertos de SRLabs escriben que notificaron a ambos fabricantes los problemas a principios de este año, sin embargo, todavía no han hecho nada y no han prohibido el uso de pausas largas, que pueden crearse usando » . «.
Ahora que se publicó el informe de expertos y los medios se interesaron, Amazon y Google se apresuraron a eliminar las aplicaciones maliciosas y dijeron que ya habían tomado las medidas necesarias y tenían la intención de revisar los procesos de aprobación de «habilidades» y «acciones» para que esto no volviera a suceder.
Google señala que ahora la compañía ya prohíbe y elimina cualquier «acción» que viole las reglas , y también tiene mecanismos para identificar ciertos tipos de comportamiento de aplicación (similar a los descritos por los investigadores) y su intersección. Además, Amazon y Google enfatizaron que los dispositivos no deberían, bajo ninguna circunstancia, solicitar contraseñas de cuentas de usuario.