Alto-falantes inteligentes da Amazon e do Google são vulneráveis a hackers
Enquanto a Amazon e o Google estão tentando desesperadamente nos convencer de que não estão ouvindo tudo o que dizemos, os pesquisadores de segurança demonstraram como esses dispositivos podem ser facilmente infiltrados por hackers que espionam suas conversas. E também – só para rir – phish para suas senhas.
Um grupo de pesquisa alemão Security Research Labs descobriu uma vulnerabilidade que eles apelidaram de Smart Spies. Por meio de vários truques, ele adiciona uma longa pausa à resposta do Alexa ou do Google para fazer você pensar que não está mais ouvindo.
Em seguida, ele solicita que você, imitando o Alexa ou o Google, atualize seu dispositivo e solicita informações de identificação pessoal, como uma senha, ou simplesmente continua a ouvir e gravar suas conversas, transcrevendo o que você diz e enviando uma transcrição para o hacker.
Leia isto: Explorando as novas ferramentas de privacidade da Amazon
De acordo com um relatório da ArsTechnica, a vulnerabilidade ocorre porque, embora a Amazon e o Google revisem as habilidades e ações antes de serem adicionadas às plataformas, as atualizações não são revisadas; portanto, um aplicativo aparentemente inócuo pode ser desonesto sem ninguém saber .
Os pesquisadores de segurança desenvolveram oito aplicativos – quatro Alexa Skills e quatro Google Home Actions, que foram capazes de fazer exatamente isso. Principalmente aplicativos de horóscopo simples nos bastidores que eles podiam ouvir ou convencer os usuários a fornecer senhas ou endereços de e-mail.
Em um e-mail para o Gizmodo, o Security Research Labs disse que a vulnerabilidade foi descoberta em fevereiro. “Ficamos surpresos ao ver que os hacks do Smart Spies ainda funcionavam mais de três meses depois de relatar os problemas ao Google e à Amazon", escreveram eles.
Os aplicativos não estão mais disponíveis, mas você pode ver demonstrações de como eles funcionam em vídeos do YouTube postados pelos pesquisadores em seu blog.
“Os usuários precisam estar mais cientes do potencial de aplicativos de voz maliciosos que abusam de seus alto-falantes inteligentes”, escreveram em seu blog. “O uso de um novo aplicativo de voz deve ser abordado com um nível de cautela semelhante ao da instalação de um novo aplicativo em seu smartphone.”
Os usuários precisam estar mais cientes do potencial de aplicativos de voz maliciosos que abusam de seus alto-falantes inteligentes
O Security Research Labs compartilhou suas descobertas com as empresas e recomendou que elas implementassem processos de revisão mais completos de habilidades e ações de terceiros.
A Amazon responde ao grupo com a seguinte declaração:
“A confiança do cliente é importante para nós e conduzimos análises de segurança como parte do processo de certificação de habilidades. Rapidamente bloqueamos a habilidade em questão e implementamos mitigações para prevenir e detectar esse tipo de comportamento de habilidade e rejeitá-los ou eliminá-los quando identificados.”
Eles também disseram que implementaram “mitigações” para evitar os problemas levantados e apontaram que os usuários nunca devem compartilhar sua senha com dispositivos por voz, qualquer solicitação de tais informações não é da Amazon.
A resposta do Google foi semelhante. “Todas as ações no Google devem seguir nossas políticas de desenvolvedor e proibimos e removemos qualquer ação que viole essas políticas. Temos processos de revisão para detectar o tipo de comportamento descrito neste relatório e removemos as ações que encontramos desses pesquisadores. Estamos implementando mecanismos adicionais para evitar que esses problemas ocorram no futuro”.
Há pouca ou nenhuma evidência, de acordo com os pesquisadores, de que tais aplicativos atualmente ameacem os usuários do Alexa e do Google Home, no entanto, os usuários desses dispositivos precisam permanecer atentos a qualquer atividade suspeita em seus alto-falantes inteligentes.