Los altavoces inteligentes, sean del fabricante que sean, han sido criticados siempre por los problemas de seguridad que representan. Tener algo capaz de grabar todo lo que decimos, dependiendo de las circunstancias, puede no ser el compañero de hogar más deseable. Siempre se ha puesto el foco en Google y Amazon en este aspecto y, al final, es posible que el ataque llegue de otras fuentes, como han conseguido demostrar experimentalmente.
Uniendo “Bugs” para realizar un ataque de phishing.
Investigadores han conseguido realizar un ataque de phishing en los altavoces inteligentes de Amazon y Google. Para ello han creado sendas apps y, haciendo uso de distintas técnicas para permanecer activos, han tratado de engañar al usuario para que este le revelase una contraseña. Lo preocupante de esto es que, en ambos casos, las aplicaciones consiguieron pasar los filtros de Google y Amazon antes de estar disponibles al público, lo que demuestra que no se prevén ataques tan imaginativos.
El modus operandi de un ataque de phishing con un altavoz inteligente.
Al parecer lo que estos investigadores han hecho es crear apps para los altavoces con un funcionamiento muy básico que, a nuestras peticiones contestaban diciendo que esa función no se encontraba disponible en nuestro país. Para continuar activas, las apps enviaban texto que el asistente no podía pronunciar pero que servía para hacer tiempo para, pasado un minuto, decirnos que existe una actualización de software y que necesitamos introducir, vía voz, nuestra contraseña para realizarla.
Gracias al truco de tratar de decir algo que no se puede leer, el usuario pierde la referencia de que sea esa app la que trata de engañarlo. En el vídeo a continuación se puede ver el funcionamiento de esta interesante técnica.
Estas apps ya han sido borradas de ambas plataformas por sus creadores pero sirven para percatarnos de que las amenazas a nuestra privacidad puede llegar desde el lugar menos insospechado.