MADRID, 11 (Portaltic/EP)
Dos investigadores de ciberseguridad han logrado comprometer la pantalla inteligente Amazon Echo Show 5 al encontrar una vulnerabilidad de Javascript que les ha permitido tomar el control del dispositivo, en el marco del concurso anual de hackeo Pwn20wn.
El equipo de investigadores de ciberseguridad Fluoroacetate, compuesto por Amat Cama y Richard Zhu, ha encontrado una vulnerabilidad en el Amazon Echo Show 5 que les ha permitido "comprometer y tomar el control" del dispositivo, según aseguran desde la iniciativa Zero Day de la compañía de ciberseguridad Trend Micro.
Los investigadores han descubierto que el dispositivo utiliza una versión antigua de Chromium, el proyecto de código abierto de Google, que ha sufrido una bifurcación en algún momento de su desarrollo dando lugar a una vulnerabilidad. Con ella, es posible tomar control del dispositivo si se conectan a un punto de acceso de Wi-Fi malicioso, según ha declarado el director de Zero Day Initiative de Trend Micro, Brian Gorenc, y ha recogido Techcrunch.
Así, los investigadores han puesto al dispositivo Echo Show en un entorno aislado de radiofrecuencia para evitar que hubiera cualquier tipo de interferencia exterior y han utilizado un 'exploit' (fragmento de 'software' utilizado para aprovechar una vulnerabilidad) que se aprovecha de un error de desbordamiento de datos enteros ('integer overflow') en JavaScript en las pantallas inteligentes de Amazon.
El desbordamiento de datos enteros se da cuando una operación matemática intenta crear un valor numérico determinado para el que no tiene espacio suficiente en su memoria, provocando que el valor se desborde fuera de la memoria asignada, lo que desemboca en problemas de seguridad en el dispositivo.
Ante ello, Amazon ha asegurado al medio Techcrunch que se encontraba investigando el asunto y que tomará "medidas apropiadas" para proteger sus dispositivos basándose en su investigación.
La vulnerabilidad día cero de las pantallas inteligentes de Amazon se ha descubierto en el marco del concurso de hackers Pwn20wn, celebrado la semana pasada en Tokio (Japón), donde los participantes tienen el desafío de explotar 'software' y dispositivos móviles muy utilizados a través de vulnerabilidades hasta entonces desconocidas.
Esta es la primera vez que en el concurso Pwn20wn se aborda un dispositivo del Internet de las Cosas. El descubrimiento de la vulnerabilidad en Amazon Echo Show 5 les ha hecho ganar 60.000 dólares (54.000 euros aproximadamente) a los hackers, que también han comprometido otros dispositivos como los televisores Sony X800G y Samsung Q60 o el teléfono Xiaomi Mi9.