Desde Check Point Research nos comentan que se identificaron recientemente vulnerabilidades de seguridad en el asistente inteligente de Amazon, Alexa, problemas que, si hubieran sido aprovechados antes de su solución, habrían podido robar datos personales de los usuarios, incluyendo historial de voz.
Indican que el ataque habría sido un éxito si el criminal hubiera divulgado un enlace y el usuario hubiera hecho click en él, interactuando con Alexa posteriormente.
El ataque podría:
– Acceder a la información personal de la víctima, incluyendo historial de datos bancarios (no los datos, pero sí las compras realizadas), los nombres de usuario, los números de teléfono y la dirección del domicilio.
– Extraer el historial de voz de una víctima con su Alexa.
– Instalar aplicaciones en la cuenta de la víctima sin que el usuario se de cuenta.
– Ver toda la lista de recursos de la cuenta de un usuario
– Eliminar un recurso instalado sin avisar al usuario.
Después de identificado el problema, Amazon solucionó las vulnerabilidades rápidamente, por lo que en estos momentos, hasta que se pruebe lo contrario, Alexa vuelve a ser una plataforma segura.
Amazon nos comenta, sobre el problema:
La seguridad de nuestros dispositivos es prioridad máxima, y apreciamos el trabajo de investigadores independientes como Check Point que puedan hacernos llegar cuestiones como estas. Arreglamos este asunto poco después de que se nos informara, y continuamos reforzando nuestros sistemas. No tenemos conocimiento de ningún caso en el que esta vulnerabilidad haya sido usada contra nuestros clientes o de que la información de los clientes haya sido expuesta.
Sobre el informe:
Hay partes del informe que son especulativas y que probablemente no sean posibles basándose en cómo trabaja Alexa: No es posible que alguien acceda a la información bancaria a través del historial de voz de Alexa del usuario. Esa información está redactada en las respuestas de Alexa.
Por otro lado, sobre las skills maliciosas, comentan:
Es importante señalar que tenemos sistemas para prevenir la publicación de skills maliciosas en nuestra Skills Store. Llevamos a cabo revisiones de seguridad como parte de la certificación de skills y monitoreamos continuamente las skills en vivo para detectar comportamientos potencialmente maliciosos. Cualquier skill ofensiva que identifiquemos se bloquea durante la certificación o se desactiva rápidamente. Por lo tanto, es menos probable que esta parte de lo que demostraron tenga éxito con una skill maliciosa real.
Lo que está claro es que hay quer evitar la descarga de aplicaciones no conocidas, no hacer click en enlaces de fuentes sospechosas, no divulgar datos sigilosos a ningún asistente, auque lo pida, y estar siempre atentos a los posibles movimientos en nuestras cuentas de email y de las apps cruciales para nuestra seguridad.