Google Nest Mini

Google Nest Mini Google

Hardware

Alexa y Google Home permitieron apps espía que escuchaban a usuarios

21 octubre, 2019 08:58

Noticias relacionadas

Hackers pueden usar altavoces inteligentes con Alexa y Google Home para escuchar a los usuarios; esa es la conclusión de la última investigación publicada por expertos de Security Research Labs (SRLabs), demostrada con el desarrollo de apps espía para estas plataformas.

El estudio revela posibles problemas en el proceso de aprobación de aplicaciones para Google Home y Alexa. En concreto, estamos hablando de las "Actions" de Home y las "Skills" de Alexa, que permiten desarrollar nuevas opciones para nuestros altavoces inteligentes.

Gracias a esto, es posible aumentar las posibilidades de nuestro Amazon Echo o Google Nest, con funciones que no estaban disponibles originalmente. Sin embargo, según los hackers alemanes, también pueden suponer un agujero de seguridad importante.

Apps espía en Alexa y Google Home

Para demostrarlo, SRLabs desarrolló ocho aplicaciones que parecen inofensivas a simple vista, pero que una vez instaladas son capaces de obtener información y audios sin que nos demos cuenta.

Cuatro eran "Skills" de Alexa y otras cuatro "Actions" de Google Home; y todas fueron aprobadas por Amazon y Google respectivamente. Siete de estos programas estaban basados en recitarnos nuestro horóscop, y uno era un generador de números aleatorios. Se activaban sólo con decir en voz alta cuestiones como "Pregunta a My Lucky Horoscope que me diga el horóscopo para Tauro", por ejemplo.

Inicialmente las apps funcionaban como se esperaba, simplemente respondiendo a la pregunta, e incluso despidiéndose con un "Goodbye", indicando que había terminado; pero en realidad, la app no termina, sino que sigue funcionando en modo silencioso. De esta forma, para el usuario parece que Alexa y Google Home han vuelto a tomar el control, cuando en realidad el altavoz aún está ejecutando la app.

En este estado, la app puede seguir usando el micrófono para escuchar todo lo que decimos; estas conversaciones son registradas y almacenadas en un servidor propiedad del desarrollador.

Otra de las apps desarrolladas en cambio intenta engañar mostrando un error, indicando que no está disponible en el país del usuario; un error común, especialmente con apps que sirven contenido. En realidad, la app sigue funcionando durante todo este tiempo.

Después de un momento, la app usa una voz parecida a la de Alexa y Google Home para advertir que el dispositivo se va a actualizar, y que necesita la contraseña del usuario para continuar. Por supuesto, una vez que consigue la contraseña puede acceder a la cuenta del usuario y robársela u obtener sus datos e información.

Cómo lo consiguieron

Estas apps se basan en errores similares en Alexa y Google Home; concretamente, en la manera en la que funcionan sus motores de síntesis de habla, por el que los asistentes pueden "hablar". Los hackers indicaron que tenía que decir el carácter "�.". Como no se puede pronunciar, el asistente se queda mudo, un periodo durante el cual la app sigue funcionando sin que el usuario lo sepa.

Los de SRLabs son "whitehat" hackers, o hackers de sombrero blanco; eso quiere decir que informaron a Amazon y a Google antes de hacer pública esta investigación. En respuesta, ambas compañías expulsaron las apps creadas por SRLabs y cambiaron la metodología de aprobación, con el objetivo de evitar la entrada de apps similares.

Amazon afirma que ha implementado "mitigaciones" para prevenir y detectar este tipo de comportamiento en las "skills". Igualmente, Google promete que ha implementado "mecanismos adicionales" para prevenir este tipo de errores.

La popularización de los altavoces inteligentes ha traído consigo una cierta "paranoia" sobre lo que son capaces de hacer; la idea de tener un micrófono en casa, que siempre nos escucha no es precisamente agradable para mucha gente.

No ha ayudado que el sector se haya visto inmerso en más de una polémica en su corto tiempo de vida. Algunos de estos escándalos nacen por una simple ignorancia por cómo funcionan estos dispositivos. En otros casos han obligado a estos fabricantes a reaccionar; como con los programas internos que permitieron a empleados escuchar fragmentos de audio para mejorar el sistema.