Un informe publicado por la forma de seguridad Check Point Research, alerta de graves vulnerabilidades en el asistente virtual Alexa, que permitirían a los atacantes instalar habilidades maliciosas y espiar las actividades de forma remota.
Alexa es el asistente virtual más poderoso del mercado con miles de habilidades integradas. Se estrenó en los asistentes de Amazon y desde ahí se ha extendido a la industria del automóvil, a los televisores inteligentes, a los ordenadores personales con Windows y a otros segmentos de mercado.
Desde sus inicios, Alexa ha planteado serios problemas en el apartado de la privacidad. Algunos han sido responsabilidad directa de Amazon. Hace un año se supo que un pequeño ejército de empleados humanos del gigante de comercio electrónico tenían la única misión de escuchar, interpretar y mejorar las conversaciones con Alexa. Fue un escándalo del que no escaparon otros asistentes como Google Home.
El resultado es que un buen número de usuarios desconfían de este tipo de tecnologías y no están dispuestos a meter un «bicho» de estos en su mismo hogar, con capacidad para ver y escuchar, mientras no se garantice una total privacidad.
Y también están los bugs de seguridad. «Los altavoces inteligentes y los asistentes virtuales son tan comunes que es fácil pasar por alto la cantidad de datos personales que tienen y su papel en el control de otros dispositivos inteligentes en nuestros hogares», dice el jefe de investigación de Check Point Research.
«Los exploits podrían haber permitido a un atacante eliminar / instalar habilidades en la cuenta de Alexa de la víctima objetivo, acceder a su historial de voz y adquirir información personal cuando el usuario invoca la habilidad instalada», explican.
Check Point dice que los fallos se debieron a una política CORS mal configurada en la aplicación móvil de Amazon Alexa, lo que podría permitir a los adversarios con capacidades de inyección de código en un subdominio de Amazon realizar los ataques.
La explotación exitosa de las vulnerabilidades en Alexa solo habrían requerido un clic en un enlace de Amazon diseñado específicamente por el atacante para dirigir a los usuarios al subdominio vulnerable a los ataques XSS, que se pueden explotar para lograr la inyección de código.
La firma de seguridad va más lejos y explica lo que ya sabemos: «Los dispositivos IoT son inherentemente vulnerables y aún carecen de la seguridad adecuada, lo que los convierte en objetivos atractivos para los ciberdelincuentes». Si unimos la falta de garantías en privacidad es lógico que muchos usuarios no usen este tipo de dispositivos.
La entrada Vulnerabilidades en Alexa permiten a los piratas informáticos instalar habilidades maliciosas es original de MuySeguridad. Seguridad informática.