Clicky

Hola, Alexa, ¿es segura esta funcionalidad?

Funcionalidades Alexa

ALERTA: Las funcionalidades maliciosas de Amazon Alexa pueden eludir fácilmente el proceso de verificación

Investigadores han descubierto lagunas en el proceso de investigación de funcionalidades de Amazon (skills) para el ecosistema del asistente de voz de Alexa que podrían permitir a un actor malintencionado publicar una funcionalidad engañosa con cualquier nombre de desarrollador arbitrario e incluso realizar cambios en el código de backend después de la aprobación para engañar a los usuarios para que proporcionen información confidencial.

Los hallazgos fueron presentados el miércoles en la conferencia del Simposio de Seguridad de Sistemas Distribuidos y Redes (NDSS) por un grupo de académicos de la Ruhr-Universität Bochum y la Universidad Estatal de Carolina del Norte, quienes analizaron 90194 funcionalidades disponibles en siete países, incluidos EE. UU., Reino Unido, Australia, Canadá, Alemania, Japón y Francia.

Amazon Alexa permite a los desarrolladores externos crear funcionalidades adicionales para dispositivos como los altavoces inteligentes Echo mediante la configuración de "funcionalidades" que se ejecutan en la parte superior del asistente de voz, lo que facilita a los usuarios iniciar una conversación con la funcionalidad y completar una tarea específica.

El principal de los hallazgos es la preocupación de que un usuario pueda activar una funcionalidad incorrecta, lo que puede tener graves consecuencias si la funcionalidad que se activa está diseñada con una intención insidiosa.

El problema surge del hecho de que varias funcionalidades pueden tener la misma frase de invocación.

De hecho, la práctica es tan frecuente que la investigación detectó 9.948 funcionalidades que comparten el mismo nombre de invocación con al menos otra funcionalidad solo en la tienda de EE. UU. en las siete tiendas de funcionalidades, solo 36.055 funcionalidades tenían un nombre de invocación único.

Amazon skills

Dado que siguen siendo desconocidos los criterios reales que utiliza Amazon para habilitar automáticamente una funcionalidad específica entre varias funcionalidades con los mismos nombres de invocación, los investigadores advirtieron que es posible activar la funcionalidad incorrecta y que un adversario puede salirse con la suya con las funcionalidades de publicación utilizando nombres de conocidas empresas.

"Esto sucede principalmente porque Amazon no emplea actualmente ningún enfoque automatizado para detectar infracciones por el uso de marcas comerciales de terceros, y depende de la investigación manual para detectar esos intentos malévolos que son propensos a errores humanos", explicaron los investigadores [PDF]. "Como resultado, los usuarios pueden quedar expuestos a ataques de phishing lanzados por un atacante".

Peor aún, un atacante puede realizar cambios de código después de la aprobación de una funcionalidad para persuadir a un usuario de que revele información confidencial como números de teléfono y direcciones activando una funcionalidad inactiva.

En cierto modo, esto es análogo a una técnica llamada control de versiones que se utiliza para eludir las defensas de verificación. El control de versiones se refiere a enviar una versión benigna de una aplicación a la tienda de aplicaciones de Android o iOS para generar confianza entre los usuarios, solo para reemplazar el código base con el tiempo con funciones maliciosas adicionales a través de actualizaciones en una fecha posterior.

Para probar esto, los investigadores desarrollaron una funcionalidad de planificador de viajes que permite al usuario crear un itinerario de viaje que posteriormente se modificó después de la investigación inicial para "Preguntar al usuario su número de teléfono para que la funcionalidad pueda enviar directamente un mensaje de texto (SMS) con el itinerario del viaje", engañando así al individuo para que revele su información personal.

Amazon skills

Además, el estudio descubrió que puede eludirse el modelo de permiso que utiliza Amazon para proteger los datos confidenciales de Alexa. Esto significa que un atacante puede solicitar directamente datos (por ejemplo, números de teléfono, detalles de Amazon Pay, etc.) del usuario que originalmente están diseñados para estar acordonados por permisos de la API.

La idea es que, si bien las funcionalidades que solicitan datos confidenciales deben invocar los permiso de la API, no impide que un desarrollador deshonesto solicite esa información directamente al usuario.

Los investigadores dijeron que identificaron 358 de tales funcionalidades capaces de solicitar información que idealmente debería estar asegurada por la API.

Amazon skills

Por último, en un análisis de las políticas de privacidad en diferentes categorías, se encontró que solo el 24,2% de todas las funcionalidades proporcionan un enlace a la política de privacidad, y que alrededor del 23,3% de dichas funcionalidades no revelan completamente los tipos de datos asociados con los permisos solicitados.

Al señalar que Amazon no exige una política de privacidad para las funcionalidades dirigidas a niños menores de 13 años, el estudio expresó su preocupación por la falta de políticas de privacidad ampliamente disponibles en las categorías "niños" y "salud y estado físico".

"Como defensores de la privacidad, creemos que las funcionalidades relacionadas con 'niños' y 'salud' deben cumplir con estándares más altos con respecto a la privacidad de los datos", dijeron los investigadores, al tiempo que instaron a Amazon a validar a los desarrolladores y realizar comprobaciones recurrentes de backend para mitigar dichos riesgos.

"Si bien estas aplicaciones facilitan la interacción de los usuarios con dispositivos inteligentes y refuerzan una serie de servicios adicionales, también plantean problemas de seguridad y privacidad debido al entorno personal en el que operan", agregaron.

Jesus_Caceres