TecnoXplora » Gadgets

GADGETS

Amazon resuelve una vulnerabilidad de los Echo que evita que se “auto hackeen”

Descubren una vulnerabilidad que permite a los hackers tomar su control con los propios comandos de Alexa.

Un Amazon Echo

Foto-de-Brandon-Romanchuk-en-Unsplash Un Amazon Echo

Publicidad

En el imaginario colectivo existe la idea de que el colapso de las máquinas puede llegar a implicar a que estas se saboteen a sí mismas, y puedan autodestruirse por acción de una mano externa que sea capaz de alterar su código esencial. Pues algo así es lo que están intentando los hackers actualmente contra algunos de los dispositivos más populares de eso que entendemos como el hogar conectado. Porque ahora conocemos que los hackers están utilizando un curioso sistema para que los altavoces de Amazon se puedan hackear, sería mediante comandos de voz que actuarían contra ellos.

Un método sencillo pero eficaz

Han sido investigadores de la Universidad Royal Holloway en Londres y la Universidad de Catania de Italia los que han dado con un método que permite a los hackers tomar parte del control de los altavoces de Amazon con fines maliciosos. Y el método es tan sencillo que inquieta. Porque la información desvelada ahora apunta a que los hackers pueden ser capaces de emparejar un dispositivo con el altavoz, manteniéndose a cierta distancia para seguir conectado. Una vez realizado este emparejamiento, el modus operandi de los hackers puede ser muy sencillo.

Y es que la idea es que Alexa hackee a Alexa, aunque suene un poco absurdo, es la realidad. Porque estos ataques se basan en comandos que emite el propio altavoz, instigados desde el dispositivo con el que se ha emparejado, y que comienzan precisamente por la palabra de activación, que no es otra que “Alexa” y tras la cual los hackers comienzan a pedirle cosas que van claramente en detrimento del propietario del dispositivo. Como por ejemplo hacer compras no autorizadas, realizar llamadas telefónicas, controlar dispositivos del hogar conectado, como por ejemplo elementos de seguridad, e incluso hacer compras en Amazon sin nuestro consentimiento.

Todo esto es posible hacerlo mientras Alexa, controlado por un tercero, es capaz de hackearse a sí mismo con una serie de comandos destinados a hacer el mal en las vidas de las víctimas. Así que la clave de todo esto es que el dispositivo de un hacker se conecte mediante Bluetooth al dispositivo, quien sabe si podría hacerlo desde fuera del hogar, pegado a una pared donde se encuentre el altavoz, y de esta manera emitir los distintos comandos desde el propio altavoz de la víctima. Parece que esta vulnerabilidad ha estado presente en la tercera y cuarta generación de los Amazon Echo.

Afortunadamente Amazon ha tomado cartas en el asunto, y ha lanzado un parche que soluciona estas vulnerabilidades. Y es que este ataque tenía dos modalidades, con un altavoz cerca que envía los comandos a otro con Alexa, o bien desde ese dispositivo que se conecta por Bluetooth al altavoz para que este se ataque a sí mismo con comandos maliciosos, algo sin duda de lo más llamativo. Así que, como es habitual, en estos casos lo mejor es mantener los dispositivos actualizados, de lo contrario, nos exponemos a problemas de seguridad de este tipo, que son bastante inquietantes.

Tras estas informaciones, Amazon ha compartido una nota en la que explica lo ocurrido con esta vulnerabilidad “En Amazon, la privacidad y la seguridad son fundamentales a la hora de diseñar y ofrecer cada dispositivo, funcionalidad o servicio. Reconocemos y valoramos el trabajo de los investigadores de seguridad independientes que nos alertan sobre potenciales problemas, y nos comprometemos a trabajar con ellos para hacer que nuestros dispositivos sean más seguros. Hemos solucionado el asunto de la activación automática remota con Alexa Skills causado por periodos prolongados de inactividad como resultado de tags rotos, como demostraron los investigadores. También tenemos sistemas que supervisan en tiempo real las Skills para detectar el comportamiento potencialmente perjudicial, incluyendo reprompts silenciosos. Cualquier Skill ofensiva identificada es bloqueada durante la certificación o se desactiva rápidamente, y trabajamos constantemente en mejorar estos mecanismos para proteger aún más a nuestros clientes.”

Publicidad