Un estudio llevado a cabo por investigadores de la Universidad de Londres y la Universidad de Catania alerta sobre un tipo de ataque conocido como “Alexa versus Alexa” (AvA) que podría afectar a los dispositivos Amazon Echo.
Esta amenaza permitiría a los hackers escuchar a escondidas a los usuarios e incluso realizar compras no deseadas en su nombre.
De acuerdo con los investigadores, los ciberdelincuentes podrían tomar el control de un dispositivo Alexa y administrar los productos IoT conectados, además de espiar las conversaciones y sustraer datos personales. Para hackear este aparato solo se necesitaría hacer click en un enlace malicioso.
En la investigación se indica que este ataque “aprovecha archivos de audio que contienen comandos de voz y métodos de reproducción de sonido de manera ofensiva para obtener el control de los dispositivos Amazon Echo durante un tiempo prolongado”.
Así, la vulnerabilidad permitiría a los atacantes acceder a un altavoz inteligente y transmitir comandos a sí mismo o a otros altavoces con Alexa. “Hemos comprobado que, a través de AvA, los atacantes pueden controlar electrodomésticos inteligentes dentro del hogar, comprar artículos no deseados, manipular calendarios vinculados y espiar al usuario”, agrega el estudio.
A raíz de esta amenaza de seguridad, Amazon lanzó un parche que puede instalarse al pedir al dispositivo que busque actualizaciones. La mala noticia es que el problema podría persistir si el atacante está cerca para emparejarse con el Echo a través de Bluetooth.
Los investigadores detectaron esta falla en los Echo Dot de tercera generación, aunque es posible que también esté presente en dispositivos de cuarta generación.
Amazon responde
A través de un comunicado, la compañía aseguró haber resuelto este inconveniente de seguridad, indicando que “hemos solucionado el asunto de activación automática remota con Alexa Skills causado por periodos prolongados de inactividad como resultado de tags rotos, como demostraron los investigadores”.
Desde Amazon también señalan que “cualquier Skill ofensiva identificada es bloqueada durante la certificación o se desactiva rápidamente y trabajamos constantemente en mejorar estos mecanismos para proteger aún más a nuestros clientes”.