Las conversaciones con Google Home o Amazon Alexa nunca han sido estrictamente confidenciales. Ambas compañías han admitido que envían algunos fragmentos de audio a los trabajadores que escuchan grabaciones de voz para ayudar a mejorar el software. Un grupo de hackers de sombrero blanco han demostrado que las aplicaciones espías (Spy Apps) de terceros alojadas por Google Home o Alexa también pueden registrar las conversaciones de los usuarios, incluso después de engañar a los usuarios para que piensen que las aplicaciones no están activas.
Imagen por Juan Ci vía Shutterstock
Desarrolladores de Security Research Labs de Alemania crearon cuatro «habilidades» de Alexa y cuatro «acciones» de Google Home que se hacen pasar por aplicaciones de astrología o generadores de números aleatorios. Estas apps están diseñadas para escuchar en secreto la voz de las personas y enviar una transcripción a servidores de terceros. Ciertas versiones de la aplicación imitan a Alexa o al Asistente de Google, pretendiendo ofrecer una actualización de software y pidiendo a los usuarios que ingresen su contraseña. Según los investigadores, las ocho aplicaciones pasaron los controles de seguridad de Amazon o Google. Esto significa que podrían haber estado disponibles para su descarga pública en cualquiera de las plataformas.
«La confianza del cliente es importante para nosotros y llevamos a cabo revisiones de seguridad como parte del proceso de certificación de habilidades», dijo un portavoz de Amazon. «Bloqueamos rápidamente la habilidad en cuestión y aplicamos mitigaciones para prevenir y detectar este tipo de comportamiento de habilidad y rechazarlos o eliminarlos cuando se identifican. También es importante que los clientes sepan que proporcionamos actualizaciones de seguridad automáticas para nuestros dispositivos, y nunca preguntarán ellos para compartir su contraseña».
Un portavoz de Google dijo que la compañía está tomando medidas para evitar problemas similares en el futuro.
«Se requiere que todas las acciones en Google sigan nuestras políticas de desarrollador, y prohibimos y eliminamos cualquier acción que viole estas políticas. Hemos revisado los procesos para detectar el tipo de comportamiento descrito en este informe, y eliminamos las acciones que encontramos de estos investigadores. Estamos implementando mecanismos adicionales para evitar que estos problemas ocurran en el futuro», dijo el portavoz de Google.
Así es como funcionan las aplicaciones
Primero, les dieron a los usuarios el mensaje esperado, ya sea un número generado al azar o un breve horóscopo. A continuación, las aplicaciones se silencian, dando a los usuarios la impresión de que el software se ha cerrado, mientras siguen escuchando conversaciones. Posteriormente envían una copia de las transcripciones a un servidor de terceros.
Las aplicaciones maliciosas también pueden hacerse pasar por Alexa o Google Home para solicitar a los usuarios información confidencial. Las aplicaciones dan la impresión de que el software se ha cerrado. Luego se hacen pasar por Alexa para solicitar a los usuarios que ingresen su contraseña para descargar una actualización de software.
Los investigadores ya desconectaron las aplicaciones y dijeron que informaron en privado sus hallazgos a Google y Amazon.
Origen: Pro hackers sneak Alexa horoscope apps that spied on users past Amazon – Business Insider
