Pesquisadores descobrem que o Amazon Echo pode ser invadido e usado como dispositivo de espionagem.
Durante a DEFCON, hackers “do bem” explicaram que realmente é possível invadir um Amazon Echo. Pesquisadores de segurança da chinesa Tencent descreveram as etapas que executaram para transformar um Echo comum e funcional em um dispositivo de espionagem, usando apenas a função de ativação remota. Embora essa notícia pareça alarmante, é importante notar que um fator crucial nessa invasão é que o interceptador precisa estar na mesma rede (LAN).
Para fazer a invasão, os pesquisadores primeiro preparam suas ferramentas de hacking: um segundo Amazon Echo que foi adaptado e recebeu novas peças internas. Depois, ao conectar o assistente digital modificado na mesma rede do Echo alvo, eles conseguiram estabelecer comunicação com ele e fazer com que ele gravasse sons sorrateiramente, enviando-os para o Echo modificado. Depois de fazer o que queriam, eles poderiam ter feito o inverso, enviando sons ao Echo modificado para serem reproduzidos no Echo alvo.
Antes de fazer a apresentação, os pesquisadores entraram em contato com a Amazon para informar da vulnerabilidade e a gigante do comércio eletrônico lançou rapidamente uma atualização para corrigir a falha. O Amazon Echo se atualiza automaticamente, assim os proprietários não precisam fazer nada no momento. Apesar da rápida ação da empresa para remediar a situação, essa revelação invalida incisivamente as refutações comuns que eram feitas e que afirmavam que o Echo não poderia ser usado para espionagem.
“Todos já sabem que alto-falantes inteligentes estão ouvindo o tempo todo para que possam responder às nossas solicitações”, diz Luis Corrons do Laboratório de Ameaças da Avast. “Como qualquer dispositivo conectado, claro, ele pode ser invadido”. Corrons prossegue, “no entanto, dispositivos de fabricantes com boa reputação, que recebem atualizações automáticas para resolver problemas de segurança conhecidos, não representam riscos. O maior problema, que esse exemplo nos mostra, é que qualquer dispositivo pode ser invadido e muitas pessoas nem mesmo sabem que têm um dispositivo conectado. Esses dispositivos menos conhecidos, que não recebem atualizações automáticas para tratar das vulnerabilidades, representam um risco real aos usuários”.
À medida que o mundo estranho e maravilhoso dos dispositivos IoT se espalha ppor sua casa, a Avast recomenda:
- Se estiver pensando em comprar um dispositivo conectado à internet, compre uma webcam, um alto-falante inteligente (Assistente), luzes inteligentes, etc. de um fabricante com boa reputação, ou seja, uma marca forte e conhecida. Embora uma marca menos conhecida possa ser mais barata, os custos podem aumentar com as inúmeras falhas de segurança que podem surgir. Pesquise e veja se o fornecedor tem uma maneira de atualizar e corrigir os dispositivos conectados
- Esclareça como os dispositivos são atualizados ou corrigidos. Isso pode ser feito automaticamente, ou o app ou serviço pode solicitar que seja feito manualmente. Além disso, seja qual for o mecanismo de atualização, atualize o dispositivo conectado o mais rápido possível
- Se você estiver preocupado com a sua privacidade e encontrar um Google Home ou um Amazon Alexa em um local público, como um AirBnB ou hotel, basta desligar o dispositivo
- Finalmente, use o Verificador de Wi-Fi do Avast para garantir que não haja problemas de segurança em sua rede. Se houver uma credencial padrão ou fraca, ou se houver um dispositivo vulnerável em sua rede, o Verificador de Wi-Fi vai alertar você. Para executar o escaneamento, abra o Avast Antivírus > Proteção > Verificador de Wi-Fi (embora o Verificador de Wi-Fi esteja ativado como padrão, ele não oferece proteção em tempo real). Sempre que estiver preocupado, você pode se tranquilizar executando um escaneamento de rede manualmente.