Los parlantes inteligentes son el «hogar» de asistentes virtuales como Google Assistant, Alexa Amazon, entre otras. Hay altavoces pequeños, medianos o grandes con conexión a Internet, varios micrófonos incorporados y, en algunos casos, incluso cámaras.
Dicho esto, aunque su utilidad es innegable como centro de control del Smart Home, como medio de reproducción de música y contenidos multimedia, el peligro de que alguien escuche es real. Lamentablemente, ahora traemos uno de estos casos.
Las conversaciones se podían escuchar a través de los parlantes inteligentes de Google
Sin embargo, al contar con un interruptor físico para apagar los micrófonos y la garantía reiterada por Google, Amazon y otras tecnologías para proteger la privacidad del usuario, es seguro que hay fallos. Algo que ahora damos a conocer y que nos preocupa.
La alerta la dieron nuestros compañeros de la publicación. ChromeSin caja, una página dedicada a los avances y novedades de Google, esta vez con un tono más preocupante. Sin embargo, es algo que en definitiva puede beneficiarnos como consumidores y usuarios.
Lo explicaré. Se ha lanzado un desafío a la comunidad de programadores e ingenieros para intentar romper la seguridad de los altavoces inteligentes de Google. Una tarea y un desafío en el que Matt Kunze tuvo verdadero éxito.
Es decir, una competición ética para, en el futuro, reforzar la seguridad de los dispositivos cuyo reto ahora consistía en «romperse».
Matt Kunze fue quien logró acceder a los altavoces de Google Home
El vector de ataque siguió vulnerabilidades explotadas en todo el ecosistema de Google. En particular, mediante la adición de nuevos contactos/perfiles a la aplicación Google Home. A partir de entonces, al estar en esa “casa” con los usuarios autorizados, les resultó relativamente fácil acceder a los parlantes inteligentes de Google y subvertir sus capacidades de comunicación.
Aunque este hecho puede asustar al lector medio, Google ya informó y corrigió el fallo hace unos meses. De hecho, como fue reveló, el defecto fue señalado en enero de 2021 y posteriormente demostrado por el investigador que lo descubrió. Luego, en abril de 2021, Google corregiría definitivamente esta brecha.
Lo que demostró el investigador fue que la instalación de uno por parte del hacker permitía el acceso y control de las grabaciones de los altavoces inteligentes de Google. Naturalmente, esto convertiría estos aparatos inteligentes en algo peligroso para nuestra privacidad.
Más específicamente, tomando el testimonio del hacker, la vulnerabilidad se descubrió al investigar la API HTTP local. Elemento que podría usarse para recibir Tráfico HTTP protegido mediante cifrado a través de un proxy.
La empresa es consciente de lo ocurrido y ya ha solucionado esta vulnerabilidad de Google Home
El hacker ético e investigador de seguridad descubrió que el proceso de agregar un nuevo usuario a un dispositivo inteligente de Google consta de dos pasos.
Aunque solo requiere el nombre del equipo, también pide el «ID cloud» de tu API local, y aquí, teniendo estos dos elementos, era posible enviar una solicitud de conexión al servidor de Google.
Por tanto, los altavoces inteligentes de Google podrían utilizarse para fines como:
- Controla los interruptores inteligentes en casa
- Abrir o cerrar ventanas y puertas de garaje inteligentes
- Abrir o cerrar ciertos vehículos
- Grabar conversaciones realizadas por usuarios (comandos de voz)
- Funciones de entretenimiento y control multimedia.
Afortunadamente, el hacker informó de estos hallazgos a Google, que utilizó este conocimiento para reforzar la seguridad de su ecosistema de productos inteligentes. Por tanto, el usuario y consumidor acabó beneficiándose de esta alarmante situación.
NoteSólo ahora estas conclusiones se han hecho públicas para no proporcionar información útil a posibles personas con malas intenciones.