Un error de Alexa podría haber expuesto su historial de voz a los piratas informáticos

Los dispositivos de asistente inteligente han tenido una buena cantidad de errores de privacidad, pero generalmente se consideran seguros para la mayoría de las personas. Sin embargo, una nueva investigación sobre vulnerabilidades en la plataforma Alexa de Amazon destaca la importancia de pensar en los datos personales que su asistente inteligente almacena sobre usted, y minimizarlos tanto como sea posible.

Los hallazgos publicados el jueves por la firma de seguridad Check Point revelan que los servicios web de Alexa tenían errores que un hacker podría haber aprovechado para capturar todo el historial de voz de un objetivo, es decir, sus interacciones de audio grabadas con Alexa. Amazon solucionó las fallas, pero la vulnerabilidad también puede haber generado información de perfil, incluida la dirección de la casa, así como cualquier «habilidad» o aplicación que el usuario haya agregado a Alexa. Un atacante puede incluso haber eliminado una habilidad existente e instalado una maliciosa para obtener más datos después del ataque inicial.

«Los asistentes virtuales son algo con lo que simplemente hablas y respondes, y por lo general no tienes en mente ningún tipo de escenario malicioso o preocupación», dijo Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Check Point. «Pero encontramos una cadena de vulnerabilidades en la configuración de la infraestructura de Alexa que eventualmente permite que un atacante malintencionado recopile información sobre los usuarios e incluso instale nuevas habilidades».

Para que un atacante aproveche las vulnerabilidades, primero debe engañar a los objetivos para que hagan clic en un enlace malicioso, un escenario de ataque común. Sin embargo, las fallas subyacentes en ciertos subdominios de Amazon y Alexa significaron que un atacante podría haber creado un enlace de Amazon genuino y de apariencia normal para atraer a las víctimas a partes expuestas de la infraestructura de Amazon. Al dirigir estratégicamente a los usuarios a track.amazon.com, una página vulnerable no relacionada con Alexa, pero utilizada para rastrear paquetes de Amazon, el atacante podría haber inyectado un código que les permitió rotar en la infraestructura de Alexa, enviando una solicitud especial a lo largo con las cookies de destino de la página de seguimiento de paquetes de skillsstore.amazon.com/app/secure/your-skills-page.

En ese momento, la plataforma confundiría al atacante con el usuario legítimo y el hacker podría acceder al historial de audio completo de la víctima, la lista de habilidades instaladas y otros detalles de la cuenta. El atacante también puede desinstalar una habilidad que el usuario haya configurado y, si el hacker ha plantado una habilidad maliciosa en la Tienda de habilidades de Alexa, incluso puede instalar esa aplicación intrusa en la cuenta de Alexa de la víctima.

Tanto Check Point como Amazon señalan que todas las habilidades en la tienda de Amazon se examinan y monitorean para detectar comportamientos potencialmente dañinos, por lo que no es una conclusión inevitable que un atacante podría haber colocado una habilidad maliciosa allí en primer lugar. Check Point también sugiere que un pirata informático puede acceder a datos bancarios históricos a través del ataque, pero Amazon lo niega y dice que la información se suprime en las respuestas de Alexa.

«La seguridad de nuestros dispositivos es una prioridad máxima y apreciamos el trabajo de investigadores independientes como Check Point, que nos traen problemas potenciales», dijo un portavoz de Amazon a WIRED en un comunicado. «Solucionamos este problema poco después de que se nos informara y continuamos fortaleciendo nuestros sistemas aún más. No tenemos conocimiento de ningún caso en el que esta vulnerabilidad se utilice contra nuestros clientes o de que se exponga la información del cliente».

Vanunu de Check Point dice que el ataque que él y sus colegas descubrieron fue matizado y que no es de extrañar que Amazon no se haya dado cuenta solo, dada la escala de las plataformas de la compañía. Pero los hallazgos ofrecen un valioso recordatorio para que los usuarios piensen en los datos que almacenan en sus diversas cuentas web y los minimicen al máximo.

No es un caso de «OK, ¡adelante!»

“Definitivamente no fue el caso con una puerta abierta y ‘¡Está bien, adelante!’”, Dice Vanunu. «Este fue un ataque complicado, pero estamos contentos de que Amazon se lo haya tomado en serio, porque las implicaciones podrían haber sido malas con 200 millones de dispositivos Alexa».

Si bien no es posible controlar si Amazon tiene un error en uno de sus servicios web más distantes, lata minimizar los datos en su cuenta de Alexa. Después de contrarrestar las prácticas confusas relacionadas con el uso de transcriptores humanos para los fragmentos de audio de algunos usuarios de Alexa, Amazon ha facilitado la eliminación de su historial de audio. Es importante hacer esto con regularidad, de lo contrario, Amazon almacenará estas grabaciones de forma indefinida.

Para ver y eliminar el historial de Alexa, abra la aplicación Alexa en su teléfono y vaya a Configuración> Historial. En esta vista, solo puede eliminar las entradas una por una. Para eliminar de forma masiva, vaya a Configuración de privacidad de Alexa en el sitio web de Amazon y elija Revisar historial de voz. También puede borrar verbalmente, diciendo, «Alexa, borra lo que acabo de decir» o «Alexa, borra todo lo que dije hoy».