El phishing a través de los asistentes de voz es posible y lo ha demostrado un grupo de investigación en ciberseguridad creando aplicaciones que recopilaban información privada.
Un grupo de investigadores de Security Research Labs ha puesto a prueba a los asistentes de voz Google Home y Alexa. Para ello, han desarrollado 4 aplicaciones para cada dispositivo. De ellas, 7 se anunciaban como skills para leer el horóscopo a los usuarios y la otra se dedicaba a lanzar números al azar.
Sin embargo, los investigadores desarrollaron estas apps con un fin oculto. Comprobar si a través de las skills de estos asistentes de voz se podría lanzar un phishing para conseguir las contraseñas de los usuarios o escuchar sus conversaciones.
Para ello, se valieron de vulnerabilidades como hacer leer a los asistentes caracteres ilegibles. Con lo que sus micrófonos seguían activos mientras los dispositivos estaban detenidos en silencio tratando de leer dichos caracteres. O dicho de otra forma, ‘pensando’.
Sin embargo, esta actividad es fácil de detectar, ya que tanto Google Home como Alexa encienden un piloto luminoso cada vez que se encuentran escuchando al usuario.
Phishing en los asistentes de voz
Para conseguir las contraseñas de los usuarios, las falsas skills lanzaban audios como el siguiente: “Existe un problema con la petición. Diga “Iniciar” y a continuación su contraseña para actualizar el dispositivo”.
Por otra parte, habían activado comandos para que la aplicación grabase cada vez que los usuarios pronunciasen palabras como “contraseña”, “email” o “dirección”, entre otras.
Los investigadores pudieron subir las skills sin incidencias a las tiendas de aplicaciones de Alexa y Google Home, lo que evidencia que las mismas todavía no están preparadas para enfrentarse a las posibles aplicaciones maliciosas que los cibercriminales quieran hacer de estos aparatos.
Los investigadores se han puesto en contacto con Google y Amazon para dar a conocer la vulnerabilidad presente en sus tiendas de skills y ambas han asegurado ponerse a trabajar para reforzar la seguridad en este sentido.
Sin embargo, hemos de recordar que los asistentes de voz no nos pedirán la contraseña ni ningún dato privado de esta manera. Por lo que si alguna aplicación lo solicita, es motivo no solo de sospechar, sino de denunciar la skill a la plataforma para que realice las investigaciones pertinentes.
