Imagen: Trend Micro – 2021
Los investigadores de Security Research Labs (SRL) demostraron cómo los
dispositivos Alexa y Google Home pueden usarse para explotar problemas de seguridad
en ciertas funciones de los dispositivos que se operan a través de las
aplicaciones Amazon Alexa y Acciones en Google Home.
El informe mostró de qué manera se pueden robar datos confidenciales
como las credenciales de la cuenta y la información de pago a través del
siguiente procedimiento:
- Crear una aplicación benigna y para ser revisado por Amazon o Google
- Modificar la aplicación después de que ha sido revisada y aprobada.
Luego, establezca un mensaje de bienvenida para aparecer como un error (por
ejemplo, “Esta habilidad no está disponible actualmente en su país”) y
añadiendo pausas largas (por ejemplo, tener la aplicación leer caracteres
impronunciables)
- Engañar al usuario mediante el establecimiento de mensajes de la
aplicación (por ejemplo, “Una importante actualización de seguridad está
disponible para su dispositivo. Por favor, diga iniciar la actualización
seguido de su contraseña.”)y así, le pedirá al usuario a revelar datos
sensibles
- Enviar los datos capturados como un valor ranura (entradas de usuario a
través enunciados) a los atacantes
Para mostrar cómo los actores de amenazas pueden espiar a los
propietarios del dispositivo, los investigadores usaron una variación de las
técnicas utilizadas para robar datos. En este caso, utilizaron acciones o
intenciones que cumplen con solicitudes habladas por el usuario.
En particular, el ataque podría utilizar las funciones activadas por
las palabras "detener" y otras que pueden ser de interés para los
actores de la amenaza (es decir, "correo electrónico",
"contraseña", "dirección"). Después del proceso de
revisión, la aplicación se modifica para que la función de "detener"
active la función "adiós" seguida de una pausa larga para engañar al
usuario haciéndole creer que la aplicación se ha cerrado. Una vez que un
usuario dice frases con palabras de activación establecidas por los atacantes,
se guardarán como valores de espacio y luego se enviarán a los atacantes.
La investigación de SRL demuestra que los dispositivos de IoT no son
inmunes a las vulnerabilidades y los riesgos de privacidad. El año pasado, un
equipo de investigadores informó sobre la “sentadilla por voz”, una técnica
similar por error tipográfico, donde los dispositivos Alexa y Google Home
pueden ser engañados para que abran aplicaciones propiedad de atacantes en
lugar de aplicaciones legítimas.
Los ataques que Trend Micro vio son solo una señal de lo que vendrá en
el panorama de amenazas de IoT, y se espera que se diversifiquen en técnicas y
objetivos a medida que la adopción de IoT continúe aumentando. Los riesgos de
privacidad y seguridad no solo se limitan en el hogar, sino también en la
ubicuidad de IoT en el lugar de trabajo y el impacto en las empresas cuando se
ven comprometidos.
Asegurar el IoT también puede considerarse una responsabilidad
compartida. Los usuarios y las empresas, por su parte, deben practicar la
higiene de la seguridad: actualizar las credenciales, asegurar los puntos de
acceso que utilizan los dispositivos IoT (por ejemplo, enrutadores) y aplicar
los últimos parches, entre otros. Los proveedores, fabricantes y desarrolladores
de aplicaciones de terceros también deben incorporar privacidad y seguridad en
los productos que desarrollan y distribuyen.
0 Comentarios