Dondequiera que la tecnología penetre, los piratas informáticos no se quedarán atrás, lo que significa que su altavoz Alexa, ya sea un Echo Dot o un Echo Show, ya está en el radar de los malos.
Con Alexa escuchando constantemente los comandos, los parlantes inteligentes son dispositivos perfectos para detectar errores, si los malos pueden eludir la seguridad que se les impone. Cuente los ladridos de justa indignación de los «te lo dije» en todas partes que sabían que invitar a Amazon a su casa era una mala idea.
Fue en agosto de 2017, cuando salió a la luz por primera vez este truco de alto perfil. Mark Barnes de los laboratorios MWR se ocupó con su soldador, hizo lo que a la persona promedio le costaría pensar y logró el tipo de prueba de concepto impresionante que podría refinarse fácilmente y venderse a aquellos con mucha menos habilidad técnica.
Los fines nefastos podrían ir desde el simple espionaje hasta el robo de la cuenta de Amazon de un usuario. Cosas desagradables.
La parte alarmante es que Barnes’s no es el único tipo de truco que una persona podría realizar para hacer que su Amazon Echo haga cosas que preferiría que no hiciera.
Entonces, ¿qué tan preocupados deberían estar los propietarios de una Alexa? Bueno, esto es lo que debe tener en cuenta y cómo evitar que le suceda.
Voz en cuclillas
Uno de los mayores riesgos de seguridad en torno a Alexa en este momento son las habilidades falsas, también conocidas como Voice Squatting. Los investigadores de la Universidad de Indiana pudieron registrar habilidades que sonaban como titulares populares, usando acentos y malas pronunciaciones para ilícitas instalaciones involuntarias.
El estudio creó habilidades de Alexa y Google Actions que absorbieron pequeños matices en los comandos de las personas. En el ejemplo, crearon habilidades que se jugaron en la habilidad Capital One (una aplicación bancaria), para instalar una aplicación falsa para «Alexa, inicie Capital Won» o «Capital One, por favor».
Amazon ha cerrado un exploit que las habilidades podrían usar para interferir escuchando a través de su altavoz inteligente abierto, lo que lo convertiría efectivamente en un dispositivo de escucha.
Sin embargo, sigue siendo un buen trabajo monitorear las habilidades que ha instalado a través de la aplicación Alexa. Con algunas habilidades buscando información de pago y alardeando de la capacidad de conectarse con otros servicios, y la barrera baja para la instalación de habilidades, este es un problema que podría no desaparecer demasiado rápido.
The Barnes Hack: convertir el Echo en un dispositivo de escucha
Barnes hizo una buena excavación en el Echo y descubrió que podía quitar la base de goma de los modelos de la primera edición para revelar algunos puntos de acceso que presumiblemente se usaban para probar errores en el pasado.
Conectó un lector de tarjetas SD a uno de estos terminales y luego procedió a rootear el mutha con las adiciones de software que deseaba. Para convertir a Echo en un dispositivo de escucha, accedió a su micrófono siempre activo y dirigió todo lo que escuchaba a una terminal de computadora remota en otro lugar. Hey presto, un dispositivo de escucha inteligente para el hogar.
La letra pequeña es que la parte inferior de goma y la conexión de acceso externo solo están presentes en la primera edición de Echos desde 2015 y 2016. Los modelos posteriores no tienen esa característica.
El Echo de Barnes podría haber parecido un poco sospechoso con todos esos cables que sobresalen, pero hay muchas posibilidades de ajustar el truco para mantener invisibles todas las partes.
como detenerlo
Bueno, si compraste tu Echo en 2017 o después, automáticamente eres inmune a este.
Para todos los demás, bueno, la solución simple es no dejar que nadie se ponga a trabajar en su Echo con un soplete y un par de alicates, por así decirlo.
Por supuesto, la manipulación podría hacerse incluso antes de que hayas comprado la cosa, así que asegúrate de comprar directamente en Amazon.
Finalmente, para el efecto de cinturón completo y llaves, presione el botón Silencio en la parte superior del Echo si está diciendo algo que realmente no quiere que lo escuchen. Según Barnes, no hay forma de desactivar eso con software.
El truco de la casa conectada: ‘Alexa, abre la puerta principal’
Puede configurar Echo como el centro de su matriz de hogar inteligente. Es fácil de hacer y ciertamente no desaconsejaríamos a nadie. Sin embargo, vale la pena tener en cuenta que Alexa hablará con cualquiera.
El asistente virtual de Amazon no viene con ningún tipo de restricción de autenticación de reconocimiento de voz. Entonces, en teoría, si pones a Echo al alcance del oído del mundo exterior, entonces un extraño parado cerca de tus ventanas, o de tu puerta delantera o trasera, podría comenzar a hacer solicitudes a Alexa. Por lo tanto, podrían encender y apagar las luces, manipular la calefacción o, incluso, posiblemente, desbloquear las puertas.
Ahora, aquí está el enorme PERO. Las cerraduras inteligentes que están habilitadas para Echo generalmente vienen con una segunda capa de seguridad.
Entonces, por ejemplo, August Smart Lock Pro viene con el requisito de configurar un PIN de cuatro dígitos que debe decir al mismo tiempo que el comando de desbloqueo, y eso debería ser suficiente para mantener las cosas seguras.
Otros requieren que su teléfono móvil esté dentro del rango de Bluetooth de la cerradura y el modelo Yale no permite el desbloqueo por Echo en absoluto. Así que, salvo que haya alguien acechando entre los arbustos junto a la puerta de tu casa escuchando tu PIN, estás bastante seguro aquí.
como detenerlo
No es necesario que se deje atrapar por colocar su Echo lejos de puertas y ventanas porque, en realidad, si un ladrón quisiera hablar con su Alexa, podría hacerlo.
Todo lo que necesitaría sería un buen grito a través de su buzón. En cambio, la solución rápida y simple es no eliminar ese nivel secundario de protección de su cerradura inteligente, sin importar cuánto más rápido crea que puede llegar a la puerta de su casa. O eso o no conectes tu cerradura inteligente a tu Echo.
El truco del chasis: Lobo con la ropa de Alexa
Parece un eco, suena como un eco, pero ¿es realmente un eco? Sería posible que alguien diseñara su propia versión de un asistente de voz con fines completamente diferentes y malvados y luego simplemente lo metiera dentro de un caparazón de Amazon Echo y lo vendiera a un apostador desprevenido.
Sería bastante fácil grabar la voz de Alexa pidiéndole a un Echo genuino que repita frases por ti, pero ¿realmente podrías grabar suficientes respuestas para evitar que el usuario use tu artimaña?
En términos reales, solo necesitaría mantener el juego el tiempo suficiente para recopilar detalles de la cuenta o cualquier otra cosa que quisiera obtener.
Si alguien realmente quisiera, por supuesto, podría sentarse y escribir respuestas en tiempo real para la falsa Alexa, pero eso es más que un trabajo de tiempo completo. Probablemente uno solo para espionaje serio.
como detenerlo
Compra tu Echo en Amazon.
The DolphinAttack: ‘¿Flipper acaba de decir algo?’
No, una manada de mamíferos con nariz de botella no está a punto de invadir tu cocina. En cambio, es su medio de comunicación ultrasónico cobardemente inteligente lo que está siendo imitado aquí.
Resulta que Alexa, y, de hecho, todas las máquinas que se ocupan del reconocimiento de voz; cualquier cosa con Siri, el Asistente de Google, etc., todos ellos pueden escuchar cosas que nosotros no podemos.
Han sido diseñados para comprender frecuencias más allá del alcance humano, lo que significa que, si puede conseguir el hardware adecuadoque solo cuesta un par de dólares, por cierto, luego puedes pedirle a Alexa y amigos que hagan lo que quieras sin que nadie te escuche.
Eso podría ser desarmar la seguridad del hogar inteligente, ordenar todo tipo de golosinas, llamar a números de tarifas premium y Dios sabe qué más. Cosas inteligentes.
Puedes agradecer a los genios de la Universidad de Zhejiang por eso.
como detenerlo
Bueno, la buena noticia es que las frecuencias ultrasónicas no viajan tan bien a través de paredes y vidrios, por lo que debe estar a unas pocas pulgadas de Echo para que DolphinAttack funcione.
Además, Alexa repetiría lo que se le dijo antes de realizar la operación, por lo que, incluso si alguien ya te ha dejado entrar a la casa inteligente, probablemente escuchará lo que estás haciendo lo suficientemente pronto.
pirateo láser
La lógica sugiere que usar el sonido sería la forma obvia de piratear un dispositivo activado por voz pero, a fines de 2019, investigadores de la Universidad de Electro-Comunicaciones en Tokio y la Universidad de Michigan descubrieron que podían activar el micrófono de un altavoz inteligente usando un láser.
Al variar la intensidad de la luz a una frecuencia particular, descubrieron que podían engañar al altavoz para que la convirtiera en una señal eléctrica, lo que significa que solo necesitaban una línea de visión para «hablar» en silencio a casi cualquier cosa con un incorporado. Micrófono: una gama Echo, Google Home y Portal de Facebook.
Usando varios ‘comandos de luz’, lograron encender y apagar las luces conectadas, abrir las puertas del garaje y hacer compras en línea, y todo desde más de 100 metros de distancia.
como detenerlo
Hasta que alguien cambie la forma en que funcionan los micrófonos, esta es una vulnerabilidad que no desaparecerá, pero mientras tanto hay una solución fácil: aleje su Echo de cualquier ventana para que sea más difícil para los malos apuntar con un láser.
Truco de historial de voz
Esta es una extensión de la ‘ocupación de voz’ que fue descubierta por la empresa de seguridad cibernética Check Point Research en agosto de 2020 (y desde entonces ha sido reparada por Amazon), pero vale la pena saber qué más podría hacer una habilidad nefasta.
CPR descubrió que todo su historial de voz podría estar disponible para un pirata informático con solo un clic en un enlace fraudulento que instaló subrepticiamente una habilidad maliciosa.
No hay una gran cantidad de valor en robar horas y horas de grabaciones de usted configurando temporizadores y encendiendo y apagando las luces, pero los datos podrían usarse para engañar a los sistemas de verificación de voz e incluso crear audios falsos.
Nuevamente, probablemente no haya un gran apetito en la comunidad de hackers por crear conversaciones falsas que involucren a miembros aleatorios del público, pero es bueno saber qué es posible.
como detenerlo
Como se mencionó anteriormente, Amazon ha cerrado esta laguna ahora y no había evidencia de que alguna vez se hubiera explotado, pero si le preocupa cuánto de su historial de voz se almacena, puede configurarlo para que se elimine periódicamente.
Primero abra la aplicación Alexa en su teléfono y seleccione el menú Más en la esquina inferior derecha. Luego toque Configuración y elija Privacidad de Alexa. En la pantalla que aparece, elija Administrar sus datos de Alexa y podrá decirle a Amazon que elimine todos sus comandos de voz tan pronto como su Echo los haya respondido, guárdelos durante tres meses o guárdelos durante 18 meses.
De forma predeterminada, todos se guardarán hasta que decidas eliminarlos. Puede hacer esto simplemente pidiéndole a su Echo que elimine todo lo que ha dicho durante un período determinado, o yendo a la sección Revisar historial de voz del menú Privacidad de Alexa, donde puede dividirlo en períodos específicos y fechas exactas.