Los usuarios de Amazon Alexa deben estar al tanto de una nueva vulnerabilidad en el proceso de investigación de habilidades del asistente de voz.
Vulnerabilidades en el ecosistema de habilidades de Alexa
Las lagunas legales podrían permitir a los actores de amenazas publicar una habilidad engañosa bajo cualquier nombre de desarrollador arbitrario.. Incluso podrían aplicar cambios en el código de backend después de la aprobación para engañar a los usuarios para que revelen detalles confidenciales..
La investigación fue realizada por un grupo de académicos de Ruhr-Universität Bochum y la Universidad Estatal de Carolina del Norte.. Durante su trabajo, los investigadores analizaron 90,194 habilidades disponibles en siete países, como los EE. UU., el Reino Unido, Australia, Canada, Alemania, Japón, y Francia. Sus hallazgos se presentaron durante el Simposio de seguridad de redes y sistemas distribuidos. (NDSS) conferencia.
"Asistente de voz de Amazon, Alexa, permite a los usuarios interactuar directamente con varios servicios web a través de diálogos en lenguaje natural. Proporciona a los desarrolladores la opción de crear aplicaciones de terceros. (conocido como Habilidades) correr encima de Alexa. Si bien estas aplicaciones facilitan la interacción de los usuarios con dispositivos inteligentes y refuerzan una serie de servicios adicionales, También plantean problemas de seguridad y privacidad debido al entorno personal en el que operan.,”El artículo de investigación explica.
Dada la adopción generalizada de Alexa y la posibilidad de que los actores malintencionados hagan un mal uso de las habilidades, El objetivo de este documento es realizar un análisis sistemático del ecosistema de habilidades de Alexa e identificar posibles lagunas que pueden ser explotadas por actores malintencionados..
El equipo está principalmente preocupado por el hecho de que los usuarios pueden activar una habilidad incorrecta, que podría conducir a resultados maliciosos, si dicha habilidad fue diseñada con tales propósitos. Además, múltiples habilidades pueden utilizar la misma frase de invocación. El análisis descubierto 9,948 habilidades que comparten la misma invocación con al menos otra habilidad. Sólo 36,055 las habilidades utilizaron un nombre de invocación único, el informe dice.
Dado que se desconocen los criterios de Amazon para habilitar automáticamente una habilidad específica entre varias habilidades con el mismo nombre, activar las habilidades incorrectas es posible. Qué es más, los actores de amenazas podrían publicar habilidades utilizando los nombres de empresas conocidas.
Esta brecha podría provocar ataques de phishing, como lo explican los investigadores:
Esto sucede principalmente porque Amazon actualmente no emplea ningún enfoque automatizado para detectar infracciones por el uso de marcas comerciales de terceros., y depende de la investigación manual para detectar intentos tan malévolos que son propensos a errores humanos. Como resultado, los usuarios pueden quedar expuestos a ataques de phishing lanzados por un atacante..
Esta amenaza es similar a una técnica conocida como control de versiones., utilizado para eludir las protecciones de verificación. Control de versiones significa enviar una aplicación legítima a una tienda de aplicaciones, y luego reemplazarlo gradualmente con una funcionalidad maliciosa a través de actualizaciones.
Si está interesado en la divulgación técnica completa de la investigación, puedes leer todo Informe del ecosistema de habilidades de Alexa.
No es la primera vez que se abusan de las habilidades de Amazon en ciberataques
El año pasado, Alexa fue pirateada con éxito. Los investigadores de seguridad de Checkpoint descubrieron que los subdominios específicos de Amazon / Alexa eran vulnerables al uso compartido de recursos entre orígenes (CORAZONES) mala configuración y secuencias de comandos entre sitios (XSS). Cabe destacar que los ataques también podrían alterar las habilidades agregadas a Alexa..
Las vulnerabilidades podrían haber permitido un atacante para eliminar o instalar habilidades en la cuenta de Alexa objetivo, acceder a su historial de voz y adquirir información personal a través de la interacción de habilidades cuando el usuario invoca la habilidad instalada.