El error de seguridad de Amazon Alexa permitió el acceso al historial de voz

Una falla en los dispositivos domésticos inteligentes Alexa de Amazon podría haber permitido a los piratas informáticos acceder a información personal e historial de conversaciones, dicen investigadores de seguridad cibernética.

Los atacantes podrían instalar o eliminar aplicaciones en un dispositivo sin que el propietario lo sepa, informa Check Point Research.

El hackeo "requirió solo un clic en un enlace de Amazon" diseñado deliberadamente por el atacante, dice.

La firma le dijo a Amazon sobre la falla, que ahora se solucionó.

Amazon dijo: "La seguridad de nuestros dispositivos es una prioridad máxima, y ​​apreciamos el trabajo de investigadores independientes como Check Point que nos presentan problemas potenciales".

Dijo que no conocía ningún caso en el que un mal actor hubiera utilizado la vulnerabilidad para apuntar a sus clientes.

En enero, Amazon dijo que había "cientos de millones" de dispositivos Alexa en el mundo.

Habilidades maliciosas

Check Point dijo que el hack requirió la creación de un enlace de Amazon malicioso, que se enviaría a un usuario desprevenido.

Una vez que hacían clic en el enlace, el atacante podía obtener una lista de todas las "habilidades" de Alexa instaladas, o aplicaciones, y robar un token que les permitía agregar o eliminar habilidades.

Una forma de usar la falla sería eliminar una habilidad y luego instalar una maliciosa que use la misma "frase de invocación": la serie de palabras habladas que se usan para activarla. Esto podría haberse hecho sin que el usuario lo supiera.

La próxima vez que el usuario intentara activar esa habilidad, habría ejecutado la aplicación del atacante en su lugar.

• Amazon Echo 'hackeado' para espiar a los usuarios
• Amazon se enfrenta a los supermercados con entrega gratuita de alimentos

Los atacantes habrían podido ver el historial de voz de Alexa, un registro de conversaciones entre el usuario y el dispositivo.

Check Point dijo que esto podría crear problemas importantes, señalando las habilidades bancarias que permiten al usuario verificar el saldo de su cuenta.

"Esto podría conducir a la exposición de información personal, como el historial de datos bancarios", argumentaron, aunque no guarda los datos de inicio de sesión bancarios.

Sin embargo, Amazon se opuso a esta sugerencia y dijo que la información bancaria, como los saldos, estaba redactada en el registro de las respuestas de Alexa, por lo que no se podía acceder a ella.

El ataque también permitiría el acceso a información personal en el perfil de Amazon, como la dirección de una casa, dijo Check Point.

Amazon también dijo que creía que el uso de una habilidad maliciosa secreta era menos probable de lo que sugerían los investigadores de Check Point.

Dijo que había sistemas implementados para evitar que las habilidades maliciosas llegaran a la Tienda de habilidades de Alexa, y que las revisiones de seguridad eran parte de su proceso.

Las aplicaciones que se comportaban mal también se desactivaban de forma rutinaria, dijo.

"Su proceso de selección probablemente habría atrapado a la mayoría de los malos; son bastante buenos en eso y saben que su reputación está en juego", dijo el profesor Alan Woodward, experto en seguridad cibernética de la Universidad de Surrey.

"Lo que pasa con este hack es que se debió a una vulnerabilidad que es bien conocida... por lo que es sorprendente verlo en el estado de Amazon".

Dijo que el acceso a los registros de voz era una gran preocupación, pero no estaba seguro de si otros piratas informáticos podrían haber sabido acerca de las vulnerabilidades en los subdominios específicos utilizados para lanzar el ataque.

"Aunque si los investigadores de seguridad lo encontraron, estoy seguro de que personas menos escrupulosas podrían haber hecho lo mismo".