Amazon Alexa tiene algunas serias habilidades: ¡espiar a los usuarios!

Amazon Echo es un inteligente parlante hogareño que siempre está escuchando y activado por voz que permite hacer cosas usando la voz, como reproducir música, configurar alarmas y responder preguntas.

Sin embargo, el dispositivo no permanece activado todo el tiempo; en cambio, duerme hasta que el usuario dice "Alexa" y, de forma predeterminada, finaliza una sesión después de cierta duración.

Amazon también permite a los desarrolladores crear aplicaciones personalizadas para "habilidades" para Alexa, que es el cerebro detrás de millones de dispositivos inteligentes activados por voz, incluidos Amazon Echo Show, Echo Dot y Amazon Tap.

Sin embargo, los investigadores de seguridad de la firma de seguridad cibernética Checkmarx crearon una "habilidad" de prueba de concepto para Alexa que obliga al dispositivo a grabar indefinidamente la voz envolvente para espiar secretamente las conversaciones de los usuarios y luego enviar las transcripciones completas a un tercer sitio web.

Disfrazado como una simple calculadora para resolver problemas matemáticos, la habilidad maliciosa, si está instalada, se activa inmediatamente en segundo plano después de que un usuario dice "Alexa, abre la calculadora".

"La habilidad de la calculadora se inicializa, y la función API\Lambda que está asociada con la habilidad recibe una solicitud de lanzamiento como entrada", dijeron los investigadores en su informe.

En una demostración en vídeo, los investigadores muestran que cuando un usuario abre una sesión con la aplicación de la calculadora (en segundo plano), también crea una segunda sesión sin indicar verbalmente al usuario que aún está activo el micrófono.

Por diseño, Alexa debería finalizar una sesión o solicitar al usuario otro comando para mantener la sesión abierta. Sin embargo, el hack podría permitir a los atacantes mantener activa la segunda sesión para espiar a los usuarios mientras termina la primera cuando se sobrepasa la interacción del usuario.

Afortunadamente, aún puedes ver al espía con las manos en la masa si notas que la luz azul en tu dispositivo Echo está activada por un período más largo, especialmente cuando no estás charlando con él.

Checkmarx reportó el problema a Amazon, y la compañía ya ha abordado el problema escaneando periódicamente en busca de habilidades maliciosas que "mensajes silenciosos o que escuchan durante períodos inusuales de tiempo" y expulsándolos de su tienda oficial.

No es el primer hack de Alexa demostrado por los investigadores. El año pasado, un grupo separado de investigadores en MWR InfoSecurity mostró cómo podían convertir los hackers algunos modelos de Amazon Echo en el dispositivo de escucha encubierto.