Este año se han dado varios casos importantes relacionados con la vulnerabilidad de la  privacidad de los usuarios con los altavoces inteligentes de Apple, Amazon y Google. Y cuando las cosas parecían que no se podían poner peor, una nueva investigación revela que tanto los Amazon Echo como los Google Home (o ahora llamados únicamente Nest) tenían aplicaciones que podían ser usadas para espiar a los usuarios sin que se dieran cuenta. 

La investigación fue realizada por el grupo de hackers en Alemania conocidos como Security Research Labs (SRLabs), los cuales desarrollaron diferentes “skills” para el Amazon Echo y “actions” para el Google Home que podían ser usadas para espiar con éxito a los usuarios que instalaran dichas skill y actions. 

¿Cómo lograron espiar a usuarios con una aplicación para estos altavoces inteligentes?

Antes de explicar cómo lograron espiar a usuarios, debes entender que tanto una skill como una action es una aplicación diseñada para los altavoces de Amazon y Google (respectivamente) con la cual puedes hacer ciertas tareas o funciones. 

En este caso en particular, SRLabs desarrolló 4 skills y 4 actions que parecían comunes y corrientes, pues lo que hacían era decirte tú horóscopo, y una de ellas solo generaba números aleatorios.

Cuando los usuarios instalaban una de estas aplicaciones en su altavoz inteligente y le pedían a Alexa o Google Assistant algo como “Dime el horóscopo de Libra”, entonces la aplicación comenzaba a funcionar dando la información que pedía el usuario, por lo que todo parecía funcionar correctamente. 

Sin embargo, una vez que la aplicación parecía que había terminado de trabajar, esta seguía funcionando, dejando el micrófono encendido para escuchar todo lo que está sucediendo en la habitación donde se encontraba el altavoz. Y peor aún, todos estos registros se almacenaban en servidores de los desarrolladores de la app, es decir, de los hackers. 

Otra de las aplicaciones de SRLabs podía usar una voz muy parecida a la de Alexa y Google Assistant para decirle al usuario que el dispositivo se iba a actualizar, y que para ello necesitaba la contraseña de su cuenta de Amazon o Google, por lo que la tenía que decir para seguir con el proceso de actualización. 

De esta forma los hackers podían obtener la contraseña de las cuentas de los usuarios y hacer con su información lo que quisieran. 

Así fue como hackearon a los creadores de un ataque vía ransomware

Google y Amazon permitieron la instalación de estas aplicaciones

El objetivo de SRLabs era probar que ninguna de las dos compañías tenía un método eficaz a la hora de verificar aplicaciones seguras para sus altavoces inteligentes, pues SRLabs mencionó que las 8 aplicaciones desarrolladas para los Amazon Echo y Google Home fueron aprobadas por ambas compañías sin mayor complicación. 

Sin embargo, el hecho de que SRLabs sea un grupo de hackers éticos permitió que esta investigación llegara primero a Amazon y Google antes de hacerse pública, por lo que ambas empresas han tomado cartas en el asunto de la siguiente manera: 

  • Amazon y Google han eliminado las skills de SRLabs.
  • Ambas empresas cambiaron la metodología de aprobación de aplicaciones para sus altavoces inteligentes. 
  • Amazon dice haber colocado “mitigaciones” para evitar que esto vuelva a suceder con cualquier skill.
  • Google también asegura haber colocado “mecanismos adicionales” para evitar este problema de ahora en adelante. 

En teoría el problema está solucionado, y al día de hoy no hay informes de que otras skills o actions hayan tenido este comportamiento, lo importante es que ha sido resuelto por ambas compañías.