Los altavoces inteligentes de Google y Amazon se pueden aprovechar para grabar conversaciones de usuarios o para suplantar contraseñas a través de aplicaciones de voz maliciosas, advierten los investigadores de seguridad.
A menos que las dos compañías tomen medidas para mejorar el proceso de revisión y las restricciones para las aplicaciones que se integran con sus dispositivos inteligentes, los desarrolladores maliciosos podrían explotar la debilidad para capturar el audio de los usuarios.
Intentos modificados
Llamadas 'habilidades' para Amazon Alexa y 'acciones' para Google Home, las aplicaciones de voz para estos altavoces inteligentes se activan mediante una frase ('nombre de invocación') designada por el desarrollador para iniciar la aplicación, que generalmente es el nombre de la aplicación.
"Hey Google/Alexa, turn on my Horoscope" - invoking the Horoscope app
Las funciones de una habilidad o una acción se llaman a través de un 'intento', una frase establecida que puede tener valores de espacio para variables personalizadas. En muchos casos, estos llegan al servidor del desarrollador.
"Tell me my horoscope for today" - intent with the slot value 'today'
Los usuarios pueden decirle al altavoz inteligente que detenga una habilidad o acción, pero los investigadores de seguridad de los laboratorios de investigación de seguridad de Alemania demostraron que una aplicación puede evitar esta intención y seguir escuchando.
Muestran que una aplicación maliciosa que se comporta de esta manera puede recibir el sello de aprobación de seguridad de Google y Amazon y poner en riesgo la privacidad del usuario cuando el audio convertido llega a un servidor de terceros.
Una habilidad maliciosa de Amazon utilizada para escuchar a escondidas podría venir con un intento de desactivación modificado que no lo apaga. En cambio, la sesión podría permanecer abierta durante un período definido.
SRLabs logró esto al cambiar la intención de 'detener' para mantener la habilidad en funcionamiento en lugar de desactivarla. Sin embargo, los usuarios seguirán escuchando el mensaje 'Adiós' que indica el final de la habilidad.
Para mantener al orador en silencio durante la sesión de espionaje, los investigadores agregaron la secuencia de caracteres Unicode “ . "(U + D801, punto, espacio) después de la intención.
La secuencia no se puede pronunciar y el orador permanecerá en silencio durante unos segundos más mientras la aplicación maliciosa escucha la conversación. El tiempo de escucha puede ampliarse agregando los caracteres varias veces.
Con una segunda intención activada por palabras específicas, un atacante puede grabar oraciones como valores de ranura. Esto actuaría como un método de respaldo para espiar a los usuarios.
Escuchar a escondidas en Google Home
Las acciones para Google Home podrían monitorear la voz del usuario durante mucho más tiempo, debido a su diseño. Al poner al usuario en un bucle, el dispositivo envía un flujo continuo de voz reconocida al atacante sin hacer un sonido para señalar su actividad.
El altavoz está diseñado para esperar unos nueve segundos para la entrada vocal y se detiene por un breve momento. Esto se repite tres veces antes de que la acción se desactive. Cuando se detecta el habla, el recuento se reinicia.
Este truco es posible cambiando la intención principal de terminar con el sonido del auricular 'Bye', que normalmente se usa para marcar el final de una aplicación de voz.
Múltiples 'noInputPrompts' con elemento SSML o la secuencia de caracteres Unicode impronunciable silenciará al orador en silencio mientras la acción de espionaje continúa su actividad de voz a texto.
El cambio de intención maliciosa ocurrió después de que las aplicaciones pasaron la revisión inicial de Amazon y Google, y las modificaciones no desencadenaron una segunda verificación.
Phishing la contraseña
Utilizando trucos similares, SRLabs demostró otro escenario de ataque que podría engañar a los usuarios para que renunciaran a sus contraseñas.
Para este propósito, el silencio dado por los caracteres Unicode se interrumpe para reproducir un mensaje de phishing.
"Una actualización de seguridad importante está disponible para su dispositivo. Por favor, diga iniciar actualización seguido de su contraseña", podría pasar por una solicitud genuina. Sin embargo, ni Google ni Amazon solicitan contraseñas de esta manera.
Cualquier cosa que el usuario diga después de que este mensaje se convierta en texto y se entregue al servidor del atacante. SRLabs creó dos videos adicionales para mostrar cómo funcionaría esto.
Fecha actualización el 2021-10-22. Fecha publicación el 2019-10-22. Categoría: passwords Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil