Investigadores de seguridad revelan vulnerabilidades en dispositivos de Google
Investigadores de seguridad revelaron una nueva vulnerabilidad que afecta a diversos dispositivos de Google, como sus altavoces inteligentes y lo mismo pasa con los equipos de Amazon. Esta vulnerabilidad permitiría a los hackers espiar e incluso, perpetrar ataques de phishing a los usuarios de estos equipos.
Al cargar un software malicioso camuflado como una habilidad de Alexa o una acción de Google, los especialistas han demostrado que esto puede hacer que los altavoces inteligentes graben en silencio a los usuarios, incluso, pueden pedirle su contraseña de Google.
Esta vulnerabilidad se ha presentado como un buen recordatorio para monitorizar de cerca el software de terceros que se emplean con asistentes de voz. Además, es una buena práctica eliminar aquellos que no se usan en la medida de lo posible.
No obstante, no hay evidencias de que esta vulnerabilidad haya sido explotada en el mundo real, ya que los especialistas revelaron esta información a Google y Amazon antes de que se hicieran públicos. En una serie de videos publicados, los especialistas de seguridad de SRLabs han demostrado como funcionan estas vulnerabilidades.
La vulnerabilidad hace que una acción de Google Home permita al usuario solicitar la generación de un número aleatorio. Esta acción se ejecuta, pero el software continúa escuchando a las personas mucho después de ejecutar sus comandos iniciales.
Otra vulnerabilidad hace que una habilidad de horóscopo, aparentemente inofensiva para Alexa, pueda ignorar un comando de "detener" que ha sido dado por el usuario y le permite seguir escuchando a las personas en silencio.
Otros videos muestran cómo los 2 altavoces inteligentes pueden ser manipulados para dar falsos mensajes de error, para aparecer después con un mensaje falso pidiendo la contraseña del usuario. En todos estos casos, los equipos de seguridad tuvieron la posibilidad de explotar la vulnerabilidad en los 2 asistentes de voz más populares.
TIC Defense es una empresa de ciberseguridad que te ofrece múltiples servicios y herramientas que pueden proteger tus activos digitales. Nuestros especialistas en seguridad informática destacan por desarrollar software y otros sistemas de defensa que se adaptan a tus necesidades empresariales. Evita los fallos de seguridad y combate las vulnerabilidades eficientemente con los productos de TIC Defense.
Los expertos de SRLabs insertaron en los altavoces una serie de caracteres que estos no pueden pronunciar. Esto quiere decir que los equipos no dicen nada, pero, continúan escuchando más órdenes. Todo lo que dice el usuario se transcribe de forma automática y es enviado de forma directa al hacker.
Es por esta razón que el software de terceros debe ser examinado para cualquier altavoz inteligente de cualquier marca o compañía. Además, debe ser aprobado por Google y Amazon antes de que pueda ser usado en sus dispositivos. No obstante, los entendidos en el tema manifiestan que estos gigantes tecnológicos no verifican las actualizaciones de sus aplicaciones.
Esto permitió a los investigadores introducir código malicioso en el software de los equipos, desde donde pueden acceder a la información suministrada por los usuarios. En consecuencia, el gigante Amazon ha implementado nuevas técnicas para prevenir y detectar habilidades que puedan vulnerar los dispositivos de altavoces inteligentes en el futuro.
Google no se quedó atrás y explicó que tienen procesos de revisión para detectar estos tipos de comportamiento y ha borrado acciones creadas por los investigadores de seguridad. El gigante tecnológico está haciendo una revisión exhaustiva de todo el software de terceros y ha deshabilitado algunas acciones mientras continúa la evaluación.
