Google Home y Alexa, los asistentes inteligentes (smart assistant) de Google y Amazon, respectivamente, han entrado en el ojo del huracán. Y es que algunas aplicaciones de terceros al parecer se estarían utilizando para escuchar a los usuarios o conocer sus contraseñas, convirtiéndolos en lo que se ha denominado como smart spies (espías inteligentes).
SRLabs ha efectuado una investigación y ha encontrado dos posibles escenarios de piratería que se aplican tanto a Amazon Alexa como a Google Home. Todo apunta al desarrollo de la funcionalidad de los altavoces inteligentes para hacerlos más completos, aunque también se convierte en la superficie de ataque para que los hackers puedan explotarlos.
Desde la compañía se ha recordado que los altavoces inteligentes de Amazon y Google ofrecen acceso simple a la información a través de comandos de voz. Entonces, los desarrolladores externos pueden ampliar la capacidad de los dispositivos a través de pequeñas aplicaciones.
“Estas aplicaciones de voz de altavoces inteligentes se llaman Habilidades para Alexa y Acciones en Google Home. Las aplicaciones actualmente crean problemas de privacidad: se puede abusar de ellas para escuchar a los usuarios o ver (contraseñas de voz) sus contraseñas”.
Siendo así, los defectos permiten que un pirata informático suplante de identidad para obtener información confidencial y espiar a los usuarios. Es por eso que han sido creadas aplicaciones de voz para demostrar ambos hacks en las dos plataformas de smart assistant, convirtiendo a los asistentes en smart spies.
Según la investigación, tanto Alexa Skills como Google Home Actions son activadas por el usuario que llama el nombre de invocación elegido por el desarrollador de la aplicación: “Alexa, enciende Mis horóscopos”. Los usuarios también pueden llamar a las funciones (Intentos) dentro de la aplicación pronunciando frases específicas: “Dime mi horóscopo para hoy”.
Entonces, se ha indicado que estas frases establecidas pueden incluir argumentos variables dados por el usuario como valores de espacio. De esta manera, las ranuras de entrada se convierten en texto y se envían al backend de la aplicación, que a menudo se opera fuera del control de Amazon o Google.
Abuso de funcionalidad de dispositivos
Se ha informado que los investigadores de SRLabs, a través de las interfaces de desarrollo estándar, pudieron comprometer de dos maneras la privacidad de los datos de los usuarios de estos smart assistant.
La primera, solicitando y recopilando datos personales, incluidas las contraseñas de los usuarios y, la segunda, escuchando a los usuarios después que creían que el altavoz inteligente había dejado de escucharlos.
De esta manera, los hacks de smart spies han combinado tres bloques de construcción. En principio, se han aprovechado de la “intención de retorno”, que es lo que una aplicación de voz (por defecto) puede hacer cuando no ha se le ha asignado al usuario el comando hablado más reciente para cualquier otro propósito y debe ofrecer ayuda: “Lo siento, no entendí eso ¿Puedes repetirlo?”.
En segundo lugar, para espiar a los usuarios de Alexa, se ha explotado aún más la intención de detención incorporada que reacciona cuando el usuario dice “detener”.
Además, los hacks se han aprovechado de que se les permita cambiar la funcionalidad de un intento después que la aplicación ya había pasado un proceso de revisión de la plataforma.
Por último, a través de las interfaces de desarrollo estándar se ha hecho uso de una peculiaridad en el motor de texto a voz de Alexa y Google, que permite insertar largas pausas en la salida de voz.
Capacidades logradas por SRLabs
La investigación ha demostrado que ha sido posible solicitar datos confidenciales como la contraseña del usuario, desde cualquier aplicación de voz. También habría sido posible solicitar la dirección de correo electrónico correspondiente, para potencialmente obtener acceso a la cuenta de Amazon o Google del usuario.
“Hemos sido capaces de escuchar las conversaciones después de que un usuario cree haber dejado nuestra aplicación de voz. Para lograr esto, utilizamos una estrategia ligeramente diferente para cada una de las plataformas de altavoces de voz”.
Ante este panorama, desde SRLabs se ha insistido en que las implicaciones de privacidad de un micrófono conectado a Internet (que escucha lo que el usuario dice) son más amplias de lo que se entendía previamente.
Los usuarios, entonces, deben ser más conscientes del potencial de las aplicaciones de voz maliciosas que abusan de los altavoces inteligentes. Y es que el uso de una nueva aplicación de voz debe abordarse con un nivel de precaución similar al de instalar una nueva aplicación en cualquier teléfono inteligente.
Es por esto que se debe implementar una mejor protección para evitar los ataques de smart spies en Amazon y Google, comenzando con un proceso de revisión más exhaustivo de las habilidades y acciones de terceros disponibles en las tiendas de aplicaciones de voz.
“La revisión de la aplicación de voz debe verificar explícitamente las copias de las intenciones incorporadas y caracteres no pronunciables. Los mensajes silenciosos de SSML deben eliminarse para evitar pausas arbitrarias en la salida de los altavoces. Los textos de salida sospechosos que incluyen ‘contraseña’ merecen especial atención o deben ser rechazados por completo”.
En cuanto a la notificación de lo encontrado en estos smart assistant, desde SRLabs se ha aclarado que las vulnerabilidades se han compartido con Amazon y Google a través del proceso de divulgación responsable de la compañía.
