Alexa presenta vulnerabilidades que pueden ser explotadas

  • Vulnerabilidades

Los cibercriminales podrían eliminar/instalar recursos en la cuenta de Alexa de una víctima, acceder a los historiales de voz y a la información personal. Para ello solo es necesario que el usuario haga un simple clic en un enlace malicioso e interactúe con el dispositivo mediante la voz.

Con más de 200 millones de unidades vendidas en todo el mundo, Alexa es capaz de interactuar con la voz, establecer alertas, reproducir música y controlar dispositivos inteligentes en un sistema de domótica, capacidades que se pueden ampliar instalando "recursos" adicionales. Sin embargo, la información personal almacenada en las cuentas de Alexa de los usuarios y el uso del dispositivo como centro de control de automatización del hogar los convierte en un objetivo atractivo para los cibercriminales. De hecho, investigadores de Check Point Research han identificado unas vulnerabilidades de seguridad críticas en ciertos subdominios de Amazon/Alexa que habrían permitido a un cibercriminal eliminar/instalar recursos en la cuenta de Alexa de una víctima, acceder a su historial de voz e, incluso, a sus datos personales.

Los investigadores de Check Point demostraron cómo las vulnerabilidades que encontraron en ciertos subdominios de Amazon/Alexa podían ser explotadas por un cibercriminal que creaba y enviaba un enlace malicioso a un usuario objetivo, que aparentemente provenía de Amazon.  El ataque tan solo necesitaba que el usuario haga un simple clic en el enlace y que interactúe con el dispositivo mediante la voz. Ello permitía al atacante acceder a la información personal de la víctima, como el historial de datos bancarios, los nombres de usuario, los números de teléfono y la dirección del domicilio; extraer el historial de voz de una víctima con su Alexa; instalar silenciosamente recursos (aplicaciones) en la cuenta de la víctima; ver toda la lista de recursos de la cuenta de un usuario; y eliminar un recurso instalado sin ser detectado.

Según comenta Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point, "realizamos esta investigación para destacar cómo la seguridad de estos dispositivos se ha convertido en crucial para mantener la privacidad de los usuarios. Afortunadamente, Amazon respondió rápidamente para solventar estas vulnerabilidades. Esperamos que los fabricantes de dispositivos similares sigan su ejemplo y comprueben que sus productos no alberguen vulnerabilidades que puedan comprometer la privacidad de los consumidores. Alexa nos preocupa desde hace tiempo, dada su ubicuidad y conexión con los dispositivos de IoT. Son estas mega plataformas digitales las que más pueden perjudicarnos. Por lo tanto, sus niveles de seguridad son de crucial importancia".

Desde Amazon aseguran que "la seguridad de nuestros dispositivos es prioridad máxima, y apreciamos el trabajo de investigadores independientes como Check Point que puedan hacernos llegar cuestiones como estas. Arreglamos este asunto poco después de que se nos informara, y continuamos reforzando nuestros sistemas. No tenemos conocimiento de ningún caso en el que esta vulnerabilidad haya sido usada contra nuestros clientes o de que la información de los clientes haya sido expuesta".