Actualmente, más que 200 millones de dispositivos con Alexa se utilizan en todo el mundo. El asistente virtual inteligente de Amazon ocupa los primeros puestos en la mayoría de los mercados.
En los EE.UU. solo, un análisis predictivo de eMarketer para 2021 muestra que 70% de todos los propietarios de altavoces inteligentes seguirán usando Alexa.
Capaz de interacción de voz, reproducción de música, y realizar otras tareas sencillas, Las habilidades de Alexa ahora se pueden ampliar con funciones adicionales desarrolladas por proveedores externos.. Estas habilidades pueden percibirse como aplicaciones, como programas meteorológicos y funciones de audio.
Vulnerabilidades en Alexa de Amazon
Desafortunadamente, Los investigadores de seguridad de Checkpoint descubrieron recientemente que los subdominios específicos de Amazon / Alexa eran vulnerables al intercambio de recursos entre orígenes. (CORAZONES) mala configuración y secuencias de comandos entre sitios (XSS). “Usando XSS pudimos obtener el token CSRF y realizar acciones en nombre de la víctima,” el equipo dijo en su informe. Los ataques recién descubiertos también pueden alterar las habilidades agregadas a Alexa..
Las vulnerabilidades podrían haber permitido a un atacante eliminar o instalar habilidades en el Alexa cuenta, acceder a su historial de voz y adquirir información personal a través de la interacción de habilidades cuando el usuario invoca la habilidad instalada, los investigadores dijeron.
¿Qué permitirían estas vulnerabilidades que hiciera un ataque??
-Instalar habilidades silenciosamente (aplicaciones) en la cuenta de Alexa de un usuario
-Obtenga una lista de todas las habilidades instaladas en la cuenta de Alexa del usuario
-Eliminar silenciosamente una habilidad instalada
-Obtenga el historial de voz de la víctima con su Alexa
-Obtener la información personal de la víctima
Como se ve en una gran cantidad de ataques maliciosos, todo lo que se necesita para que se inicie el exploit es solo un clic en un enlace de Amazon especialmente diseñado. La buena noticia es que los exploits ya se han solucionado., siguiendo el informe de Checkpoint en junio 2020.
¿Qué tan seguro es Amazon Echo??
En agosto 2017, Los investigadores de MWR Labs pudieron demostrar código de prueba de concepto contra el dispositivo Amazon Echo. El equipo pudo mostrar cómo se puede usar un potencial malware de Amazon Echo para espiar a los usuarios y llevar a cabo acciones maliciosas.. Esto fue posible debido a una implementación de hardware insegura que permite el acceso a través de pads de depuración expuestos.. Esto podría permitir que el dispositivo se inicie desde dispositivos de almacenamiento externos.