Investigadores de Check Point Research, la división de inteligencia de amenazas de Check Point® Software Technologies Ltd., han identificado unas vulnerabilidades de seguridad críticas en ciertos subdominios de Amazon/Alexa.
Estas vulnerabilidades habrían permitido a un cibercriminal eliminar/instalar recursos en la cuenta de Alexa de una víctima, acceder a su historial de voz e, incluso, a sus datos personales, como ha informado la compañía de ciberseguridad, que añade que, "el ataque tan solo necesitaba que el usuario haga un simple clic en un enlace malicioso creado por el cibercriminal y que la víctima interactúe con el dispositivo mediante la voz".
Si el usuario hacía clic en el enlace, permitía al atacante:
- Acceder a la información personal de la víctima, como el historial de datos bancarios, los nombres de usuario, los números de teléfono y la dirección del domicilio.
- Extraer el historial de voz de una víctima con su Alexa.
- Instalar silenciosamente recursos (aplicaciones) en la cuenta de la víctima.
- Ver toda la lista de recursos de la cuenta de un usuario.
- Eliminar un recurso instalado sin ser detectado.
Con más de 200 millones de unidades vendidas en todo el mundo, Alexa es capaz de interactuar con la voz, establecer alertas, reproducir música y controlar dispositivos inteligentes en un sistema de domótica.
Los usuarios pueden ampliar sus capacidades instalando "recursos" adicionales, que son aplicaciones dirigidas siempre por la voz. Sin embargo, la información personal almacenada en las cuentas de Alexa de los usuarios y el uso del dispositivo como centro de control de automatización del hogar los convierte en un objetivo atractivo para los cibercriminales.
"Los cibercriminales ven los altavoces inteligentes como instrumentos perfectos para acceder a la vida de las personas, dándoles la oportunidad de obtener sus datos, escuchar conversaciones o realizar otras acciones maliciosas sin que el propietario se dé cuenta", comenta Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point.
Amazon solucionó este problema poco después de que se le informara de su existencia, tal y como nos ha hecho saber su portavoz: "La seguridad de nuestros dispositivos es prioridad máxima, y apreciamos el trabajo de investigadores independientes como Check Point que puedan hacernos llegar cuestiones como estas. Arreglamos este asunto poco después de que se nos informara, y continuamos reforzando nuestros sistemas. No tenemos conocimiento de ningún caso en el que esta vulnerabilidad haya sido usada contra nuestros clientes o de que la información de los clientes haya sido expuesta".