El malware llega a los asistentes digitales (y los convierte en espía)
Investigadores demuestran que es posible "colar" software espía en los asistentes virtuales de Google o de Amazon, amenazando la privacidad de los usuarios
De parecida parecida a como la apps posibilitan que los smartphones realicen diferentes funciones —desde editar una fotografía a acceder a una red social— las skills o actions son «habilidades» que capacitan a los asistentes digitales para que realicen diferentes tareas, como por ejemplo atender el pedido de una pizza.
- Y del mismo modo que algunas apps incluyen código malicoso o malware que captura datos del móvil del usuario sin que este sea complemente consciente (incluyendo lo que teclean, la lista de contactos, o la ubicación), las skills de los asistentes digitales roban datos del usuario mediante escuchas ileagles.
- La amenaza no es teórica: un grupo de investigadores alemanes ha demostrado que es posible colocar software malicioso en las tiendas de apps para los asistentes digitales de Goolge y de Amazon.
- En concreto los investigadores desarrollaron cuatro skills de Alexa de Amazon y cuatro actions_ de Google Home. La cuatro superaron todos los controles de Amazon o Google — y quedaron disponibles para los usuarios.
- Estas apps maliciosas se ofrecen con diferentes propósitos, como por ejemplo dar respuesta a consultas sobre el horóscopo. Pero su propósito real es el de escuchar al usuario y obtener de él información personal.
- La técnica se conoce en inglés como eavesdropping, literalmente «escuchar secretamente» una conversación privada entre dos o más personas; o, para el caso, entre una persona y un asistente digital.
Las apps maliciosas para asistentes digitales tienen diferentes formas de operar, pero principalmente están pensadas para solicitar y recopilar datos personales —como contraseñas— y espiar conversaciones privadas de los usuarios después de hacerles creer que el altavoz inteligente ha dejado de escuchar.
- En algunos casos las apps maliciosas funcionan de forma legítima y dan respuesta la consulta del usuario, pero a la vez envían conversaciones a servidores de internet.
- En otros casos la app responde a la consulta del usuario con algún tipo de mensaje de error falso, y a partir de ahí impersona al asistente digital imitando la voz que utilizan Alexa y Google para informar al usuario de que es necesario actualizar su dispositivo, aprovechando para pedirle su contraseña, explican los investigadores.
- Este último caso es una versión oral del phising, que hasta ahora solía realizarse habitualmente a través de páginas web falsas, mensajes en el móvil o correo electrónico.
El phishing es una de las principales amenazas de ciberseguridad, y a veces es difícil de detectar. Consiste en engañar al usuario para que entregue información personal: por ejemplo, utilizando una página web falsa igual que la de su banco para que el usuario entregue en ella su contraseña.
- De momento no se conocen skills maliciosos «de verdad» más allá de las programadas por el grupo de investigadores que, sin embargo, fueron capaces de sortear los controles de seguridad de Amazon y de Google.
Relacionado: Altavoces inteligentes secuestrados para funcionar como armas sónicas: algunos altavoces inteligentes infectados con malware pueden emitir sonidos potencialmente dañinos.
No es la primera vez que los altavoces inteligentes demuestran ser una amenaza para la privacidad de los usuarios: el pasado verano se supo que empleados de Amazon, de Google, y de Apple, escuchaban fragmentos de conversaciones para supervisar y «mejorar» el funcionamiento de sus asistentes digitales.
- Desde entonces las tres compañías han interrumpido o modificado sus correspondientes programas de supervisión humana.