Investigadores introdujeron con éxito aplicaciones “maliciosas” detrás de las defensas de dos importantes compañías de altavoces inteligentes en una prueba sobre sus prácticas de seguridad.
Los expertos de Security Research Labs aseguraron que las aplicaciones fueron diseñadas para apuntar a datos personales como grabaciones de voz y contraseñas de usuarios de Google Home y Amazon Echo haciéndose pasar por un software que lee horóscopos, a través de comandos de voz.
Las aplicaciones solo se eliminaron una vez que los investigadores informaron a las compañías de sus pruebas.
App aluden las defensas de Google
Las ocho aplicaciones diseñadas por los investigadores pudieron eludir las defensas de Amazon y Google y fueron aprobadas por los equipos de moderación de las compañías, un lapso que, según los expertos, invita a un escrutinio aún mayor sobre los estándares de privacidad y seguridad de los dispositivos inteligentes.
“A medida que crece la funcionalidad de los altavoces inteligentes, también lo hace la superficie de ataque para que los hackers los exploten”, escriben los investigadores en su informe.
“Las fallas permiten que un pirata informático robe información confidencial y escuche a los usuarios. Creamos aplicaciones de voz para demostrar ambos hacks en ambas plataformas de dispositivos, convirtiendo a los asistentes en Smart Spies”, agregaron los expertos.
Una de las aplicaciones fue diseñada para engañar a los usuarios para que piensen que su dispositivo ya no escucha mediante el anuncio de un mensaje de error falso después de ser despertado por una palabra de activación.
Sin embargo, la aplicación permanece abierta con el micrófono activado, lo que permitiría a los piratas informáticos espiar cualquier conversación posterior al alcance del oído.
Llamado de alerta a los usuarios
Otro ataque llega a los usuarios con un mensaje falso que les pide que actualicen sus sistemas al deletrear su contraseña. Esa transcripción se captura y se envía a un servidor remoto.
“Todas las acciones en Google deben seguir nuestras políticas de desarrollador, y prohibimos y eliminamos cualquier acción que viole estas políticas. Tenemos procesos de revisión para detectar el tipo de comportamiento descrito en este informe, y eliminamos las acciones que encontramos de estos investigadores”, añadió un portavoz de Google al medio MailOnline.
“Estamos implementando mecanismos adicionales para evitar que estos problemas ocurran en el futuro”, indicó el portavoz.
Los investigadores dicen que los exploits deberían actuar como una llamada de atención para los usuarios de dispositivos domésticos inteligentes con micrófono que pueden no ser conscientes de que los piratas informáticos pueden explotar la tecnología.
“Las implicaciones de privacidad de un micrófono conectado a Internet que escucha lo que usted dice son más amplias de lo que se entendía anteriormente”, añadieron los expertos.
Según ellos, los usuarios deben ser más conscientes del potencial de las aplicaciones de voz maliciosas que abusan de sus altavoces inteligentes. El uso de una nueva aplicación de voz debe abordarse con un nivel de precaución similar al de instalar una nueva aplicación en el teléfono inteligente.