Aparecen una serie de vulnerabilidades críticas en el asistente de voz Alexa
Ya subsanadas por Amazon, permitían a terceros hacerse con el historial de voz, información personal de los usuarios e instalar y eliminar recursos en sus cuentas.
Check Point descubrió vulnerabilidades críticas que afectan al asistente de voz de Amazon.
Estas vulnerabilidades estaban presentes en subdominios de Amazon/Alexa que permitían eliminar e instalar recursos en la cuenta de los usuarios y acceder a sus datos.
Para llevar a cabo un ataque exitoso, los ciberdelincuentes solo tenían que buscar la complicidad de los usuarios generando un enlace malicioso. Si el usuario hacía clic en dicho enlace, en apariencia procedente de Amazon, e interactuaba con su dispositivo mediante la voz, el atacante ya podía acceder a su información personal, desde nombre, número de teléfono y domicilio a historial de datos bancarios. También quedaba accesible el historial de voz y la lista de recursos.
Otras consecuencias serían la instalación silenciosa de recursos en la cuenta de la víctima o la eliminación de los ya instalados, también sin ser detectado.
“Los altavoces inteligentes y los asistentes virtuales son tan habituales que resulta muy sencillo pasar por alto la cantidad de datos personales que poseen, así como su papel en el control de otros dispositivos inteligentes en nuestros hogares. Los cibercriminales, por el contrario, los ven como instrumentos perfectos para acceder a la vida de las personas, dándoles la oportunidad de obtener sus datos, escuchar conversaciones o realizar otras acciones maliciosas sin que el propietario se dé cuenta”, advierte Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point.
Vanunu explica que “realizamos esta investigación para destacar cómo la seguridad de estos dispositivos se ha convertido en crucial para mantener la privacidad de los usuarios. Afortunadamente, Amazon respondió rápidamente para solventar estas vulnerabilidades”.
“Esperamos que los fabricantes de dispositivos similares sigan su ejemplo y comprueben que sus productos no alberguen vulnerabilidades que puedan comprometer la privacidad de los consumidores”, alade el experto. “Alexa nos preocupa desde hace tiempo, dada su ubicuidad y conexión con los dispositivos de IoT. Son estas mega plataformas digitales las que más pueden perjudicarnos. Por lo tanto, sus niveles de seguridad son de crucial importancia”.
Check Point alerta sobre el peligro de descargar aplicaciones no conocidas y recomienda informarse primero sobre el software que se va a instalar, incluyendo los permisos solicitados. También aconseja ser prudentes a la hora de compartir información, especialmente en el caso de contraseñas o credenciales bancarias.
Sin víctimas
Por su parte, Amazon ha querido remarcar, en declaraciones a Silicon.es, el hecho de que “arreglamos este asunto poco después de que se nos informara y continuamos reforzando nuestros sistemas”.
“La seguridad de nuestros dispositivos es prioridad máxima”, subraya su portavoz, “y apreciamos el trabajo de investigadores independientes como Check Point que puedan hacernos llegar cuestiones como estas”.
A pesar de la peligrosidad del problema detectado, el fallo se habría arreglado a tiempo y no habría causado víctimas. “No tenemos conocimiento de ningún caso en el que esta vulnerabilidad haya sido usada contra nuestros clientes o de que la información de los clientes haya sido expuesta”, confirman desde la compañía responsable de Alexa.