Las formas extrañas en que se puede piratear tu internet Echo

Dondequiera que la tecnología impregne, los piratas informáticos no se quedarán atrás, lo que significa que su altavoz Alexa, ya sea un Echo Dot o Echo Show, ya está en el radar de los malos.

Con Alexa escuchando constantemente los comandos, los parlantes inteligentes son dispositivos perfectos para detectar errores, si los malos pueden eludir la seguridad que se les coloca. Cue los ladridos de indignación justificada de los te-lo-dije-en todas partes que sabían que invitar a internet a tu casa era una mala idea.

Fue en agosto de 2023, cuando este truco de alto perfil salió a la luz por primera vez. Mark Barnes de MWR Labs se puso manos a la obra con su soldador, hizo lo que a la persona promedio le costaría siquiera pensar y logró el tipo de prueba de concepto impresionante que podría refinarse fácilmente y venderse a aquellos con mucha menos capacidad técnica.

Los fines nefastos podrían ejecutarse en cualquier lugar entre una simple escucha a escondidas y el robo de la cuenta de internet de un usuario. Cosas desagradables.

La parte alarmante es que Barnes’s no es el único tipo de truco que una persona podría realizar para hacer que su internet Echo haga cosas que preferiría que no hiciera. Entonces, ¿qué tan preocupados deberían estar los propietarios de una Alexa? Bueno, esto es lo que debe tener en cuenta y cómo evitar que le suceda.

Cuclillas de voz

Uno de los mayores riesgos de seguridad de Alexa en este momento son las habilidades falsas, también conocidas como Voice Squatting. Los investigadores de la Universidad de Indiana pudieron registrar habilidades que sonaban como titulares populares, utilizando acentos y pronunciaciones incorrectas para instalaciones ilícitas e inconscientes.

El estudio creó habilidades de Alexa y Acciones de Google que detectaron pequeños matices en los comandos de las personas. En el ejemplo, crearon habilidades que se jugaron en la habilidad de Capital One (una aplicación bancaria), para instalar una aplicación falsa para «Alexa, inicie Capital Won» o «Capital One, por favor».

internet ha cerrado un exploit que las habilidades podrían usar para atascar la escucha a través de su altavoz inteligente abierto, lo que lo convertiría efectivamente en un dispositivo de escucha.

Sin embargo, sigue siendo un buen trabajo controlar las habilidades que ha instalado a través de la aplicación Alexa. Con algunas habilidades que buscan información de pago y que cuentan con la capacidad de conectarse con otros servicios, y la barrera baja para la instalación de habilidades, este es un problema que puede que no desaparezca demasiado rápido.

The Barnes Hack: convirtiendo el eco en un dispositivo de escucha

Barnes hizo una buena excavación en el Echo y descubrió que se podía quitar la base de goma de los modelos de la primera edición para revelar algunos puntos de acceso que presumiblemente se usaron para las pruebas de errores en el pasado.

Conectó un lector de tarjetas SD a uno de estos terminales y luego procedió a rootear el mutha con cualquier adición de software deseada. Para convertir a Echo en un dispositivo de escucha, accedió a su micrófono siempre encendido y dirigió todo lo que escuchó a una terminal de computadora remota en otro lugar. Oye, presto, un dispositivo inteligente para detectar micrófonos en el hogar.

La letra pequeña es que la base de goma y la conexión de acceso externo solo están presentes en la primera edición de Echos de 2023 y 2023. Los modelos posteriores no tienen esa característica.

Barnes’s Echo podría haber parecido un poco sospechoso con todos esos cables que sobresalen de él, pero hay mucho margen para ajustar el truco para mantener invisibles todas las partes y piezas.

Como detenerlo

Bueno, si compró su Echo en 2023 o después, automáticamente es inmune a este.

Para todos los demás, bueno, la solución simple es no dejar que nadie se ponga a trabajar en su Echo con un soplete y un par de alicates, por así decirlo.

Por supuesto, la manipulación podría realizarse incluso antes de que haya comprado la cosa, así que asegúrese de comprar directamente en internet.

Finalmente, para el efecto de cinturón y tirantes completo, presione el botón Silenciar en la parte superior del Echo si está diciendo algo que realmente no desea que lo escuchen. Según Barnes, no hay forma de desactivar eso con el software.

El truco de la casa conectada: ‘Alexa, abre la puerta de entrada’

Puede configurar Echo como el centro de la matriz de su hogar inteligente. Es fácil de hacer y ciertamente no desaconsejaríamos a nadie. Sin embargo, vale la pena tener en cuenta que Alexa hablará con cualquiera.

El asistente virtual de internet no viene con ningún tipo de restricciones de autenticación de reconocimiento de voz. Entonces, en teoría, si pones a Echo al alcance del oído del mundo exterior, entonces un extraño parado cerca de tus ventanas, o de tu puerta delantera o trasera, podría comenzar a hacer solicitudes a Alexa. Por lo tanto, podrían apagar y encender las luces, manipular la calefacción o, incluso, posiblemente, abrir las puertas.

Ahora, aquí está el masivo PERO. Las cerraduras inteligentes que están habilitadas para Echo generalmente vienen con una segunda capa de seguridad.

Entonces, por ejemplo, August Smart Lock Pro viene con el requisito de que configure un PIN de cuatro dígitos que debe decir al mismo tiempo que el comando de desbloqueo, y eso debería ser suficiente para mantener las cosas seguras.

Otros requieren que su teléfono móvil esté dentro del alcance de Bluetooth del bloqueo y el modelo Yale no permite el desbloqueo por Echo en absoluto. Por lo tanto, a menos que alguien esté al acecho en los arbustos junto a la puerta de su casa escuchando su PIN, aquí está bastante seguro.

Como detenerlo

No es necesario que se concentre demasiado en colocar su Echo lejos de puertas y ventanas porque, en realidad, si un ladrón quisiera hablar con su Alexa, podría hacerlo.

Todo lo que se necesitaría sería un buen grito a través de su buzón. En cambio, la solución rápida y simple es no eliminar ese nivel secundario de protección de su cerradura inteligente, sin importar cuánto más rápido crea que podría ser entrar por la puerta de su casa. O eso o no conectes tu cerradura inteligente a tu Echo en absoluto.

El truco del chasis: el lobo con la ropa de Alexa

Parece un eco, suena como un eco, pero ¿es realmente un eco? Sería posible que alguien diseñara su propia versión de un asistente de voz con fines completamente diferentes y malvados y luego simplemente lo metiera dentro de un caparazón de internet Echo y se lo vendiera a un apostador desprevenido.

Sería bastante fácil grabar la voz de Alexa pidiéndole a un Echo genuino que repita frases por usted, pero ¿podría realmente grabar suficientes respuestas para mantener al usuario alejado de su artimaña?

En términos reales, solo necesitaría mantener el juego el tiempo suficiente para recopilar los detalles de la cuenta o cualquier otra cosa que desee extraer.

Si alguien realmente quisiera, por supuesto, podría sentarse y escribir respuestas en tiempo real para la falsa Alexa en la boca, pero eso es más que un trabajo de tiempo completo. Probablemente uno solo para espionaje serio.

Como detenerlo

Compre su Echo en internet.

El ataque de los delfines: ‘¿Flipper acaba de decir algo?’

No, una manada de mamíferos con nariz de botella no está a punto de invadir tu cocina. En cambio, es su medio de comunicación ultrasónico cobarde e inteligente lo que está siendo imitado aquí.

Resulta que Alexa, y, de hecho, todas las máquinas que se ocupan del reconocimiento de voz; cualquier cosa con Siri, el Asistente de Google, etc., todos pueden escuchar cosas que nosotros no podemos.

Han sido diseñados para comprender frecuencias más allá del conocimiento humano, lo que significa que, si puedes conseguir el hardware adecuado, que por cierto solo cuesta un par de euros, puedes pedirle a Alexa y a sus amigos que hagan lo que quieras. sin que nadie lo escuche.

Eso podría ser desarmar la seguridad inteligente del hogar, ordenar todo tipo de golosinas, llamar a números de tarifa premium y Dios sabe qué más. Cosas inteligentes.

Puedes agradecer a los genios de la Universidad de Zhejiang por eso.

Como detenerlo

Bueno, la buena noticia es que las frecuencias ultrasónicas no viajan tan bien a través de las paredes y el vidrio, por lo que debe estar a unas pocas pulgadas de Echo para que DolphinAttack funcione.

Es más, Alexa repetía lo que se le decía antes de realizar la operación, por lo que, incluso si alguien ya te ha dejado entrar a la casa inteligente, es probable que pronto se enteren de lo que estás haciendo.

Hack de láser

La lógica sugiere que usar sonido sería la forma obvia de piratear un dispositivo activado por voz pero, a fines de 2023, investigadores de la Universidad de Electro-Comunicaciones en Tokio y la Universidad de Michigan descubrieron que podían activar el micrófono de un altavoz inteligente usando un láser.

Al variar la intensidad de la luz a una frecuencia particular, descubrieron que podían engañar al altavoz para que la convirtiera en una señal eléctrica, lo que significa que solo necesitaban una línea de visión para ‘hablar’ silenciosamente a casi cualquier cosa con un dispositivo incorporado. micrófono: una gama Echo, Google Home y Portal de Facebook.

Usando varios ‘comandos de luz’ lograron encender y apagar las luces conectadas, abrir puertas de garaje y hacer compras en línea, y todo desde más de 100 metros de distancia.

Como detenerlo

Hasta que alguien cambie la forma en que funcionan los micrófonos, esta es una vulnerabilidad que no desaparecerá, pero mientras tanto hay una solución fácil: aleja tu Echo de cualquier ventana para que sea más difícil para los malos apuntar con un láser.

Hack de historial de voz

Esta es una extensión de la ‘voz en cuclillas’ que fue descubierta por la firma de ciberseguridad Check Point Research en agosto de 2023 (y desde entonces ha sido reparada por internet) pero vale la pena saber qué más podría hacer una habilidad nefasta.

CPR descubrió que todo su historial de voz podría estar disponible para un pirata informático con solo un clic en un enlace fraudulento que instaló subrepticiamente una habilidad deshonesta.

No hay una gran cantidad de valor en robar horas y horas de grabaciones de usted configurando temporizadores y encendiendo y apagando las luces, pero los datos podrían usarse para engañar a los sistemas de verificación de voz e incluso crear deepfakes de audio.

Una vez más, probablemente no haya un gran apetito en la comunidad de piratas informáticos por crear conversaciones falsas que involucren a miembros aleatorios del público, pero es bueno saber qué es posible.

Como detenerlo

Como se mencionó anteriormente, internet ha cerrado esta laguna ahora y no había evidencia de que alguna vez haya sido explotada, pero si le preocupa la cantidad de su historial de voz que se está almacenando, puede configurarlo para que se elimine periódicamente.

Primero abra la aplicación Alexa en su teléfono y seleccione el menú Más en la esquina inferior derecha. Luego toque Configuración y elija Privacidad de Alexa. En la pantalla que aparece, elija Administrar sus datos de Alexa y podrá decirle a internet que elimine todos sus comandos de voz tan pronto como su Echo los haya respondido, guárdelos durante tres meses o guárdelos durante 18 meses.

De forma predeterminada, se guardarán todos hasta que decida eliminarlos. Puede hacer esto simplemente pidiéndole a su Echo que elimine todo lo que ha dicho durante un período establecido, o yendo a la sección Revisar historial de voz del menú Privacidad de Alexa, donde puede dividirlo en períodos específicos y fechas exactas.