Noticias de seguridad

Hackeando el Amazon Echo

Avast Security News Team, 24 agosto 2018

Investigadores descubren que Amazon Echo puede ser pirateado y utilizado como un dispositivo de espionaje.

En DEFCON, los hackers “white hat” explicaron durante una presentación que, de hecho, es posible hackear un Amazon Echo. Los investigadores de seguridad del conglomerado chino Tencent describieron los pasos realizados para convertir un Echo común y funcional en un dispositivo de espionaje, completamente a través de la activación remota. Y si bien esto puede parecer una noticia alarmante, es importante tener en cuenta que un factor clave del hack es que el interceptor debe estar en la misma LAN.

Para realizar el truco, los investigadores tuvieron que preparar su herramienta de pirateo: un segundo Amazon Echo, que tuvieron que modificar reemplazando partes y agregando nuevas piezas. Luego, conectando el asistente digital modificado a la misma LAN que el Echo objetivo, pudieron comunicarse con él y comenzar a grabar el sonido y enviarlo al Echo modificado. Si lo hubieran querido, podrían haber hecho lo contrario y expulsar sonidos del Echo modificado para reproducirlos en el objetivo.

Antes de dar su presentación, los investigadores contactaron con Amazon para informar sobre la vulnerabilidad, y el gigante de la cola electrónica rápidamente lanzó un parche para resolver el problema. Amazon Echo se actualiza automáticamente, por lo que los propietarios no requieren ninguna acción para solucionar este problema. A pesar de la acción rápida de la compañía para remediar la situación, la revelación demuestra que el Echo podría usarse con fines de espionaje.

"Todos saben que los altavoces inteligentes están escuchando todo el tiempo en caso de que necesiten responder a nuestras solicitudes", dice Luis Corrons, de Avast ThreatLabs. "Al igual que cualquier dispositivo conectado, por supuesto, puede ser pirateado". Corrons continúa: "Sin embargo, los dispositivos de fabricantes acreditados que obtienen actualizaciones automáticas para resolver problemas de seguridad conocidos no son los dispositivos que representan el riesgo. El problema más grande al que apunta este truco es que cualquier dispositivo es potencialmente pirateable, y muchas personas ni siquiera son conscientes de que incluso tienen un dispositivo conectado. Son estos dispositivos menos conocidos los que no tienen actualizaciones automáticas para abordar las vulnerabilidades, que representan un riesgo real para los usuarios ".

A medida que el extraño y maravilloso mundo de los dispositivos del IoT continúa creciendo en tu hogar, Avast recomienda:

  1. Si estás pensando en comprar un dispositivo con conexión a Internet, asegúrate de comprar la cámara web, el altavoz inteligente y las luces inteligentes de un fabricante de confianza: una marca sólida y reconocida. Si bien una marca menos conocida puede ser más barata, el costo viene con una serie de problemas de seguridad que podrían ser problemáticos más adelante. Investiga, asegúrate de que el vendedor tenga una forma de actualizar y parchear los dispositivos conectados.
  2. Aclara cómo se actualizan / reparan los dispositivos. Puede ser automático, o la aplicación o el servicio puede pedirte que lo hagas manualmente. Además, sea cual sea el mecanismo de actualización, asegúrate de actualizar el dispositivo conectado tan pronto como sea posible.
  3. Si te encuentras con Google Home o Amazon Alexa en un entorno público, como un AirBnB u hotel, simplemente desconecta el dispositivo si tienes dudas.
  4. Y, por último, usa Avast Wi-Fi Inspector para asegurarte de que no tengas problemas de seguridad en tu red. Si hay una credencial predeterminada o débil o un dispositivo vulnerable en tu red, el inspector de Wi-Fi te alertará. Para ejecutar el escaneo, abrae Avast Antivirus> Protección> Wi-Fi Inspector y haz clic en Análisis de red. (Nota: sibien el Inspector Wi-Fi está habilitado de manera predeterminada, no brinda protección en tiempo real. Por lo tanto, en cualquier momento que estés preocupado, puedes disfrutar de tranquilidad al realizar escaneos de red manualmente).