Google_Home_01

Cuando la seguridad de los móviles y las tablets aún no ha dejado de ser un problema para las tres grandes de tecnología (Apple, Google y Amazon) los problemas llegan ahora a los altavoces inteligentes, y más en concreto de Google Home y Alexa. SRLabs, empresa de seguridad informática conocida por romper varios de los métodos de seguridad más populares de la actualidad, ha logrado introducir aplicaciones espía en las distintas plataformas de Google y Alexa. A falta de aplicaciones convencionales, la compañía ha logrado introducir código malicioso en varias «extensiones» de cada uno de los altavoces tras la aprobación de las dos compañías, logrando así espiar lo que los usuarios dicen cuando el altavoz se encuentra en reposo.

Aplicaciones de horóscopo: así lograron espiar a través de Google Home y Alexa

Más conocidas como Skills (habilidades) en Alexa y Actions (acciones) en Google Home. SRLabs logró desarrollar nada menos que ocho de estas aplicaciones en un entorno de pruebas para los dos sistemas de Amazon y Google con el objetivo de romper la verificación de ambas empresas a la hora de aprobar extensiones de terceros en la tienda de las dos plataformas. La compañía lo ha logrado llevar a cabo con simples extensiones que prometían dar número aleatorios y predecir el horóscopo semanal: más allá de sus funcionalidades reales, lo cierto es que todas ellas espiaban las conversaciones de los usuarios una vez dejaban de funcionar.

aplicaciones espia google home

Acciones de Google Assistant con Google Home.

La forma de proceder que la propia compañía ha descrito en el informe oficial publicado en su página web es muy simple. Al parecer, algunas de esas ocho aplicaciones requerían del carácter ? para detener la escucha de los micrófonos y así cerrar la extensión de manera definitiva. Al ser un carácter que no puede ser pronunciado de manera independiente (por ejemplo «cierra interrogación»), las aplicaciones seguían ejecutándose en memoria con los micrófonos en activo.

Lo más curioso del caso es que desde las propias aplicaciones se hacía ver que la acción o habilidad requerida quedaba en suspensión de manera permanente a través de frases como «Adiós», «De acuerdo» o «Hasta luego», dando a entender que estas se cerraban tras su uso. Nada más lejos de la realidad. Todas las aplicaciones mantenían la escucha activa hasta que el usuario volvía a iniciar el asistente de Google o Alexa a través de la voz. Posteriormente la grabación era enviada a un servidor ajeno a Google y Amazon.

alexa-asistente

Otra de las formas de las que se han valido en SRLabs se basan en generar errores a menudo relacionados con la región del usuario. Según el informe, las aplicaciones generaban un error a través de las voces de los asistentes donde se describía que «la función no está disponible en la región del usuario». Un error que contra toda lógica estaba generado por la propia empresa de desarrollo.

Tras su salida en forma de comando de voz la aplicación requería de la contraseña y el correo del usuario simulando la voz de Alexa y Google para «registrarse correctamente en una región disponible». Sobra decir que los datos eran enviados a los servidores de la empresa responsable.

Tranquilo, Google y Amazon ya han sido alertados

Durante todo el proceso de prueba Google y Amazon fueron advertidos del desarrollo de estas ocho aplicaciones. Desde SRLabs ya han emitido el informe correspondiente e informados a ambas compañías. Tanto Google como Amazon han asegurado que han mejorado los procesos de verificación y aprobación de aplicaciones para «evitar este tipo de prácticas» en aplicaciones de terceros.

 

Recibe nuestras noticias

De lunes a viernes mandamos un newsletter con los titulares del día a +4.000 suscriptores

I will never give away, trade or sell your email address. You can unsubscribe at any time.