Check Point descubre que Alexa podía ser pirateado

Por Orlando Rojas Pérez – Check Point informó que había descubierto una grave vulnerabilidad en los Asistentes Virtuales Inteligentes -Iintelligent Virtual Assistant IVA- vendidos por Amazon con el nombre Echo, que usa el sistema de Alexa de reconociendo de voz para monitoreo y dar comandos. De estos Amazon ha vendido más de 200 millones en el mundo. Una vez Check Point le informó del problema a Amazon, esta corrigió el problema.

 

DETALLES DEL PROBLEMA
En ciertos subdominios de Amazon/Alexa se habrían permitido a un cibercriminal eliminar/instalar recursos en la cuenta de Alexa de una víctima, acceder a su historial de voz e, incluso, a sus datos personales. El ataque tan solo necesitaba que el usuario haga un simple clic en un enlace malicioso creado por el cibercriminal y que la víctima interactúe con el dispositivo mediante la voz.  Recordemos que Alexa es capaz de interactuar con la voz, establecer alertas, reproducir música y controlar dispositivos inteligentes en un sistema de domótica. Los usuarios pueden ampliar las capacidades de Alexa instalando recursos adicionales, que son aplicaciones dirigidas siempre por la voz. Sin embargo, la información personal almacenada en las cuentas de Alexa de los usuarios y el uso del dispositivo como centro de control de automatización del hogar los convierte en un objetivo atractivo para los cibercriminales.
Los investigadores de Check Point demostraron cómo las vulnerabilidades que encontraron en ciertos subdominios de Amazon/Alexa podían ser explotadas por un cibercriminal que creaba y enviaba un enlace malicioso a un usuario objetivo, que aparentemente provenía de Amazon.  Si el usuario hacía clic en el enlace, permitía al atacante:
- Acceder a la información personal de la víctima, como el historial de datos bancarios, los nombres de usuario, los números de teléfono y la dirección del domicilio. 
- Extraer el historial de voz de una víctima con su Alexa

- Instalar silenciosamente recursos (aplicaciones) en la cuenta de la víctima

- Ver toda la lista de recursos de la cuenta de un usuario

- Eliminar un recurso instalado sin ser detectado

 

RECOMENDACIONES
Los expertos de Check Point recomiendan a todos los usuarios de Asistentes Virtuales Inteligentes, no solamente usuarios de Alexa:

- Evitar la descarga de aplicaciones no conocidas.

- Pensar dos veces antes de compartir: vigilar la información que se comparte con el dispositivo, sobre todo si es sensible, por ejemplo, contraseñas, credenciales bancarias, etc.

- Leer información acerca del alcance de las aplicaciones que quiera descargar, es importante destacar que hoy en día casi cualquier persona puede crear una aplicación para este tipo de asistentes, por lo que es fundamental documentarse sobre este software antes de instalarlo en el dispositivo, así como comprobar los permisos que pide. Además, hay que recordar que estas aplicaciones pueden desempeñar ciertas acciones para obtener información confidencial.

 

DECLARACIÓN
Oded Vanunu -jefe de investigación de vulnerabilidad de productos de Check Point-  declaró: “Los altavoces inteligentes y los asistentes virtuales son tan habituales que resulta muy sencillo pasar por alto la cantidad de datos personales que poseen, así como su papel en el control de otros dispositivos inteligentes en nuestros hogares. Los cibercriminales, por el contrario, los ven como instrumentos perfectos para acceder a la vida de las personas, dándoles la oportunidad de obtener sus datos, escuchar conversaciones o realizar otras acciones maliciosas sin que el propietario se dé cuenta. Realizamos esta investigación para destacar cómo la seguridad de estos dispositivos se ha convertido en crucial para mantener la privacidad de los usuarios. Afortunadamente, Amazon respondió rápidamente para solventar estas vulnerabilidades. Esperamos que los fabricantes de dispositivos similares sigan su ejemplo y comprueben que sus productos no alberguen vulnerabilidades que puedan comprometer la privacidad de los consumidores. Alexa nos preocupa desde hace tiempo, dada su ubicuidad y conexión con los dispositivos de IoT. Son estas mega plataformas digitales las que más pueden perjudicarnos. Por lo tanto, sus niveles de seguridad son de crucial importancia”.

 

CÓMO FUNCIONA LA INVESTIGACIÓN DE CHAECK POINT
La unidad de investigación de Check Point proporciona inteligencia sobre amenazas cibernéticas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recoge y analiza los datos de ciberataques globales almacenados en ThreatCloud para mantener a los piratas a raya, al tiempo que se asegura de que todos los productos de Check Point están actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, con las fuerzas del orden y con varios CERTs.
e

 

Ver nota:

Datos se convierten en decisiones inteligentes

Datos se convierten en decisiones inteligentes
Papel Blanco por Fernando Silvestre.
http://www.evaluamos.com/?home/detail/17227

 

 

 

Comentarios (0)

Copyright © 2000 - 2017 Evaluamos. Todos los derechos reservados.