Se han revelado varias vulnerabilidades en AmazonAlexa, destacando la necesidad de proveedores de plataformas domésticas inteligentes, como AppleHomeKit, para mantener la seguridad como parte del servicio.
El concepto de una casa inteligente es atractivo, pero el sueño de ordenar un asistente virtual para automatizar las tareas del hogar se convierte en una pesadilla una vez que surgen los problemas de seguridad. En el caso de AmazonAlexa, que está en el corazón de la configuración del hogar inteligente de muchas personas, se han revelado vulnerabilidades que podrían haber permitido a un atacante realizar tareas y descubrir lo que un usuario le ha dicho a Alexa, problemas que desde entonces se han solucionado.
El informe de los investigadores de Check Point Security revela una serie de Amazon y los subdominios de Alexa eran vulnerables a una configuración incorrecta de Cross-Origin Resource Sharing (CORS) y Cross Site Scripting (XSS). Al usar XSS, un atacante podría adquirir un token CSRF que le proporcionaría acceso a elementos de la instalación del hogar inteligente.
Según los investigadores, estos podrían incluir instalar automáticamente las habilidades de Alexa sin el conocimiento del usuario, adquirir una lista de todas las habilidades instaladas, eliminar silenciosamente las habilidades instaladas, adquirir el historial de voz de la víctima con Alexa e incluso obtener información personal.
Esta manipulación de habilidades podría haber permitido que se instalara una versión modificada de una habilidad existente y luego la usara el usuario, una que podría permitir que el atacante realizara acciones, o para una mayor adquisición de datos del usuario. Incluso podría haber sido posible que un atacante instalara una habilidad para escuchar a escondidas conversaciones cerca de un dispositivo Echo.
Si bien hubiera sido posible escuchar a escondidas, los usuarios tenían la posibilidad de que algo fuera de lugar, ya que escuchar habría activado el indicador de luz azul en el dispositivo Echo.
Los usuarios normalmente pueden monitorear y eliminar su historial de voz a través de la página de configuración de privacidad de Alexa o la aplicación de Alexa. Los usuarios también pueden borrar los registros diciendo “Alexa, borra lo que acabo de decir” o “Alexa, borra todo lo que dije hoy”, mientras que una opción de borrado automático puede borrar los datos una vez transcurridos tres meses o 18 Meses de edad.
Se afirma que habría sido posible una explotación exitosa de las vulnerabilidades a través de un solo Amazon clic en el enlace de la víctima.
Check Point reveló responsablemente las vulnerabilidades a Amazon en junio de 2020, y los problemas se han solucionado.
“Los dispositivos de Internet de las cosas son inherentemente vulnerables y aún carecen de la seguridad adecuada, lo que los convierte en objetivos atractivos para los actores de amenazas”, escribe Check Point. “Los ciberdelincuentes buscan continuamente nuevas formas de violar los dispositivos, o utilizarlos para infectar otros sistemas críticos. Esta investigación presentó un punto débil en lo que es un puente hacia dichos dispositivos de IoT. Tanto el puente como los dispositivos sirven como puntos de entrada. Deben se mantendrá seguro en todo momento para evitar que los piratas informáticos se infiltran en nuestros hogares inteligentes “.
“La seguridad de nuestros dispositivos es una prioridad absoluta y apreciamos el trabajo de investigadores independientes como Check Point que nos plantean problemas potenciales”, dijo un Amazon portavoz. “Solucionamos este problema poco después de que se nos informara y continuamos fortaleciendo aún más nuestros sistemas. No tenemos conocimiento de ningún caso de uso de esta vulnerabilidad contra nuestros clientes o de que se haya expuesto la información del cliente”.
Amazon ha generado controversia con los problemas de seguridad y privacidad de su plataforma de hogar inteligente en el pasado. En 2019, se encontró Amazon Los empleados estaban escuchando grabaciones de audio de dispositivos Echo para mejorar su precisión, mientras que más tarde, en el mismo año, los investigadores pudieron agregar aplicaciones de espionaje a las tiendas de aplicaciones para Alexa y Google Home que permitieron que se realizaran escuchas y phishing.
Tiempo Apple opera su propia plataforma de hogar inteligente HomeKit, la compañía trabaja para mantener cada elemento lo más seguro posible. Esto incluye un uso extensivo del cifrado, así como una larga lista de requisitos y restricciones que cada nuevo dispositivo compatible con HomeKit debe cumplir para funcionar en la plataforma.
Actualizar: agosto 18: Actualizado con Amazon declaración y cambios menores.
