Este nuevo ataque puede poner a los dispositivos de Amazon en tu contra
Investigadores han descubierto cómo manipular de forma remota el Amazon Echo a través de sus propios altavoces.
Específicamente, investigadores de la Universidad de Londres y la Universidad de Catania han descubierto cómo armar los dispositivos Amazon Echo para hackearse a sí mismos.
La técnica denominada “Alexa vs. Alexa (AvA)“, aprovecha lo que los investigadores llamaron “una vulnerabilidad de autoemisión de comando”. En otras palabras, el uso de mensajes pregrabados que, cuando se reproducen en un altavoz Echo de tercera o cuarta generación, hace que el altavoz realice acciones sobre sí mismo.
Cómo hacer que Alexa se hackée a sí misma
Los parlantes inteligentes permanecen inactivos durante el día, esperando que un usuario vocalice una frase de activación en particular. Por ejemplo, “Hola, Google”, “Hola, Cortana” o, para Amazon Echo, “Alexa” o simplemente “Echo”. Por lo general, por supuesto, es el propietario del dispositivo quien emite tales comandos.
Sin embargo, los investigadores descubrieron que la autoactivación del dispositivo Echo [también] ocurre cuando un archivo de audio reproducido por el propio dispositivo contiene un comando de voz. E incluso si el dispositivo solicita una confirmación secundaria, para realizar una acción en particular, el atacante sólo tiene que agregar siempre un ‘sí’ aproximadamente seis segundos después de la solicitud para estar seguro de que el comando tendrá éxito”.
Para que el dispositivo reproduzca una grabación creada con fines malintencionados, un atacante necesitaría un teléfono inteligente o una computadora portátil en el rango de emparejamiento de Bluetooth. A diferencia de los ataques basados en Internet, este escenario requiere proximidad al dispositivo de destino. Este impedimento físico se equilibra con el hecho de que, como señalaron los investigadores, “una vez emparejado, el dispositivo Bluetooth puede conectarse y desconectarse de Echo sin necesidad de volver a realizar el proceso de emparejamiento. Por lo tanto, el ataque real puede ocurrir varios días después del emparejamiento”.
Alternativamente, según el informe, los atacantes podrían usar una estación de radio por Internet, transmitiendo al Echo objetivo como un servidor de comando y control. Este método funciona de forma remota y se puede usar para controlar varios dispositivos a la vez. Sin embargo requiere pasos adicionales, incluido engañar al usuario objetivo para que descargue una “habilidad” (aplicación) maliciosa de Alexa en un dispositivo de Amazon.
Peligros del ataque
Los investigadores descubrieron que podían usar AvA para obligar a los dispositivos a ejecutar una serie de comandos, muchos de ellos con graves consecuencias para la privacidad o la seguridad. Las posibles acciones maliciosas incluyen:
- Controlar otros electrodomésticos inteligentes. Por ejemplo, apagar las luces, encender un horno de microondas inteligente, configurar la calefacción a una temperatura insegura o desbloquear cerraduras de puertas inteligentes. Como señalamos anteriormente, cuando Echo requiere confirmación, el adversario solo necesita agregar un “sí” al comando unos seis segundos después de la solicitud.
- Llamar a cualquier número de teléfono, incluido uno controlado por el atacante, para que sea posible escuchar los sonidos cercanos. Si bien Echo usa una luz para indicar que está haciendo una llamada, los dispositivos no siempre son visibles para los usuarios y es posible que los usuarios menos experimentados no sepan lo que significa la luz.
- Hacer compras no autorizadas utilizando la cuenta de Amazon de la víctima. Aunque Amazon envía un correo electrónico notificando a la víctima de la compra, es posible que no observe el correo electrónico o que el usuario pierda la confianza en Amazon. Alternativamente, los atacantes también pueden eliminar elementos que ya están en el carrito de compras de la cuenta.
- Manipular el calendario previamente vinculado de un usuario para agregar, mover, eliminar o modificar eventos.
- Suplantar habilidades o iniciar cualquier habilidad a elección del atacante. Esto, a su vez, podría permitir a los atacantes obtener contraseñas y datos personales.
- Recuperar todas las declaraciones hechas por la víctima. Usando lo que los investigadores llaman un “ataque de máscara”, un adversario puede interceptar comandos y almacenarlos en una base de datos. Esto podría permitir al adversario extraer datos privados, recopilar información sobre las habilidades utilizadas e inferir los hábitos de los usuarios.