Amazon Echo Studio

Amazon Echo Studio Adrián Raya

Software

Alexa dejó al aire libre las grabaciones de los usuarios por un agujero de seguridad

Una investigación reveló un serio bug en Alexa que podría haber permitido a cualquier hacker acceder a las grabaciones de audio de los usuarios de los altavoces Echo.

13 agosto, 2020 16:26

Noticias relacionadas

La firma de seguridad Check Point ha revelado que la plataforma Alexa tenía un agujero de seguridad que hacía que acceder a las grabaciones de audio de los usuarios fuese demasiado fácil para posibles hackers.

Alexa es uno de los asistentes virtuales más usados del mercado, gracias al éxito de ventas de los altavoces Echo de Amazon y al ser compatible con muchos dispositivos del Internet de las Cosas.

Y eso, pese a los miedos aún presentes entre algunos usuarios de que estos dispositivos pueden servir para espiarnos. Noticias como la que se ha revelado hoy no ayudan precisamente a calmar estos temores.

Alexa podía ser hackeada fácilmente

La investigación de Check Point se ha centrado en usar técnicas habituales usadas por hackers para acceder a información de los usuarios usando sus credenciales: Cross Site Scripting (o XSS) y Cross-Origin Resource Sharing (CORS).

Usando estas técnicas, era posible engañar a los servidores de Alexa para conseguir acceso a la cuenta de la víctima, sin que esta lo supiese; a efectos prácticos, los servidores se creen que es la víctima, y no el atacante, el que está accediendo a su cuenta y por eso es difícil de detectar por métodos convencionales.

Demostración de un ataque contra Alexa

Demostración de un ataque contra Alexa Check Point Omicrono

Gracias a esto, el atacante no solo podría tener acceso a prácticamente todos los datos del usuario, sino que también podría realizar acciones en su nombre.

Por ejemplo, era posible instalar skills, aplicaciones de terceros que permiten a Alexa realizar más acciones. Normalmente las skills sólo se pueden instalar una vez que aceptamos otorgar permisos al creador, pero este método se salta esta medida. Por lo tanto, el atacante podría instalar skills que espiasen al usuario u obtuviesen más información.

Grabaciones al alcance de cualquiera

Pero sin duda lo más preocupante es que el atacante tendría acceso al historial de grabaciones del usuario. Amazon almacena las grabaciones de nuestras interacciones con Alexa, la mayoría de las veces para mejorar el servicio; de hecho, Amazon guarda todo lo que le dices a Alexa para siempre.

En respuesta a la polémica que generó esta política, y a escándalos como cuando se descubrió cómo los empleados podían escuchar los audios de Alexa, Amazon decidió implementar métodos sencillos para acceder a nuestro historial y borrar lo que quisiéramos.

Ataque hacker a Alexa

Un atacante se podría haber aprovechado de esto para acceder a todas nuestras grabaciones, con el peligro para la privacidad que eso supondría; además, esas grabaciones se podrían usar para realizar ataques de ingeniería social o para el chantaje.

La buena noticia es que Amazon fue informada de este bug el pasado mes de junio, y ya ha sido solucionado. Por el momento no parece que nadie haya aprovechado este agujero de seguridad, y no hay pruebas de que haya sido explotado para obtener los datos de los usuarios.

Amazon responde

Amazon ha respondido públicamente a los resultados de esta investigación a través de un portavoz, que ha agradecido a Check Point su trabajo. Aunque la vulnerabilidad existió, ya fue solucionada antes de que se hiciese pública.

Además, y más importante aún, Amazon confirma que no hay pruebas de que esta vulnerabilidad se haya aprovechado para atacar a los usuarios. A continuación, la respuesta completa de Amazon:

"La seguridad de nuestros dispositivos es prioridad máxima, y apreciamos el trabajo de investigadores independientes como Check Point que puedan hacernos llegar cuestiones como estas. Arreglamos este asunto poco después de que se nos informara, y continuamos reforzando nuestros sistemas. No tenemos conocimiento de ningún caso en el que esta vulnerabilidad haya sido usada contra nuestros clientes o de que la información de los clientes haya sido expuesta".