¿Cómo lo lograron? Científicos hacen que el Amazon Echo se hackee a sí mismo y ahora es un peligro

Una vez que el atacante tiene control del Amazon Echo, puede forzar al dispositivo ejecutar comandos, incluso algunos relacionados con seguridad o privacidad

Recientemente, investigadores lograron que el altavoz inteligente Amazon Echo se hackee a si mismo, y permita que un tercero pueda efectuar compras o llamadas telefónicas.

Incluso, los expertos advierten que un Amazon Echo hackeado podrían abrir puertas y activar objetos del internet de las cosas (IoT, por sus siglas en inglés) como accesorios conectados en una casa, incluyendo microondas, luces o temperatura.

Así funciona el hackeo a Amazon Echo

El ataque a los Amazon Echo se consigue emitiendo comandos de voz a través del modo altavoz, eso incluyen tareas de confirmación verbal para ejecutarlos. Burlaron la medida de seguridad agregando la palabra «sí» unos seis segundos después.

Es por ese motivo es que los investigadores de la Univesidad de Royal Holloway en Londres y la Universidad de Catania que encontraron la vulnerabilidad lo han llamado como “Alexa vs. Alexa”. Pues el ataque logra que el dispositivo ejecute comandos emitidos por el propio asistente virtual, Alexa.

Además, el hackeo se realiza conectando un Amazon Echo al dispositivo del atacante. También se puede hacer también con una estación de radio o si el altavoz no tiene las últimas versiones de firmware. Una vez consumado ataque, se utiliza una app de texto a voz para decir comandos que el asistente virtual de Amazon ejecuta.

De esta manera, una vez que el atacante tiene control del Amazon Echo, puede forzar al dispositivo ejecutar comandos, incluso algunos relacionados con seguridad o privacidad. Como, por ejemplo, interactuar con otros dispositivos inteligentes en casa, como luminarias, apagar o encender electrodomésticos, así como desbloquear cerraduras inteligentes.

No solo eso, el al ataque permitió hacer llamadas telefónicas, hacer compras en Amazon, crear, cambiar o borrar citas en el calendario vinculado con el usuario del Echo.

¿Cómo evitar el hackeo de Amazon Echo?

Los investigadores que hallaron la vulnerabilidad explican que hasta ahora solo hay una forma de evitar el hackeo: apagar el micrófono del Echo cuando no se está usando el asistente virtual Alexa.

Por otro lado, el hackeo «Alexa vs Alexa» o AvA tampoco funciona vía internet. Hay que estar de manera presencial ante un Amazon Echo para lograr hackearlo. Esto demuestra los peligros de tener asistentes virtuales o dispositivos en casa que permanentemente escucha, es decir, todo el tiempo.

Recordemos que también se han logrado hackear otros asistentes virtuales; en 2019 otros expertos en ciberseguridad mostraron cómo Siri, Alexa y Google Assistant eran vulnerables a ataques mediante láser de baja potencia que emitían comandos de voz inaudibles que pueden «interactuar» con el dispositivo, así como otros dispositivos de otros fabricantes.

Se documentó en el caso de este ataque con láser, este podía ser emitido desde otro edificio a un máximo de 110 de metros de distancia. Incluso mediante ventanas de cristal.

Fuente: heraldobinario.com.mx