MWR InfoSecurity descubrió recientemente que una hazaña física en particular puede ser usada para instalar una cierta pieza de malware para aprovechar el micrófono en el altavoz doméstico de Amazon alimentado por Alexa.
Video: Los temores de Amazon Echo pueden ser más reales de lo que crees. Los investigadores descubrieron recientemente un método de piratear Amazon Echoes para capturar todo el audio que escucha y transmitirlo a cualquier lugar que el atacante desee.
Una vulnerabilidad recientemente descubierta y difícil de detectar podría permitir a los hackers acceder al micrófono de un Amazon Echo y transmitir en directo el audio recogido por él. La hazaña fue detallada por MWR InfoSecurity en una entrada del blog el martes, explicando que se requiere un ataque físico específico para que ocurra.
El proceso requiere que el atacante tenga acceso físico a la unidad de eco, pero el ataque casi no deja rastro físico, dijo el puesto. Todo comienza con el diseño del Eco Amazonas.
En la parte inferior de la unidad Echo, debajo de una almohadilla de goma, hay 18 almohadillas de depuración expuestas. Estas almohadillas le dan a los atacantes un primer plano de cómo arranca el dispositivo, dijo el post.
VER: Cómo convertirse en un desarrollador de Alexa: La guía de la persona inteligente
Más información sobre ciberseguridad
Si una tarjeta SD está conectada a estos pads, el Echo arrancará por defecto desde la propia tarjeta a través de su unidad eMMC, dijo el post. Al adjuntar una tarjeta SD cargada con el software correcto en la partición correcta, los atacantes pueden arrancar en una interfaz de línea de comandos, dijo el mensaje. Una vez aquí, los atacantes pueden «inspeccionar el contenido de los sistemas de ficheros en la memoria interna y reconfigurar los argumentos del núcleo», decía el post.
Utilizando un sencillo guión, los investigadores pudieron pedir al Eco que grabara todos los datos de audio sin procesar del micrófono y los enviara a su servicio remoto, donde pueden guardar los archivos a medida que los reciben. El script no alterará la funcionalidad del dispositivo, pero esencialmente convierte un Amazon Echo en una escucha telefónica.
La edición 2015 y 2019 del Eco Amazonas son vulnerables al ataque, pero la versión 2019 no lo es. El botón de silencio físico en la parte superior del Eco también apagará la grabación, incluso si el dispositivo ha sido arraigado, dijo el post.
Aunque el requisito de acceso físico es limitado, el enraizamiento real del dispositivo fue «trivial», dijo el artículo. Mark Barnes, consultor de seguridad de MWR InfoSecurity, dijo a ZDNet que, con el dispositivo adecuado, los atacantes sólo tardarían «un minuto más o menos» en acceder al micrófono.
Esta hazaña debe ser una preocupación tanto para los consumidores conscientes de la privacidad como para las empresas, que pueden tener el hábito de discutir información delicada en las proximidades de un Amazon Echo. Además, como muchos hoteles (como el Wynn Las Vegas y algunos hoteles Marriott) han comenzado a instalar unidades de Amazon Echo en sus habitaciones, los viajeros de negocios también deben tener cuidado.
Las 3 grandes ventajas para los lectores de ConsejoTecnologico.com
- Una nueva vulnerabilidad, descubierta por MWR InfoSecurity, podría ser utilizada para grabar y almacenar datos de audio de un Amazon Echo, convirtiéndolo en una escucha telefónica para hackers.
- El ataque ocurre cuando una tarjeta SD está conectada a los pads de depuración en la parte inferior del Echo, permitiendo a los atacantes arrancar en una interfaz de línea de comandos.
- Sólo ciertos modelos son vulnerables, pero los usuarios deben tener cuidado al hablar de material sensible alrededor de unidades desconocidas.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves