Amazon ha solucionado un potencial exploit descubierto por Checkmarx. Los investigadores de este último dijeron que Alexa posiblemente podría vigilarlo incluso si no sabía por completo que extraños maliciosos estaban convirtiendo su Echo en un dispositivo de escucha. Los detectives del laboratorio descubrieron una manera de hacer que el asistente de voz de Amazon escuchara constantemente.

Alfred Ng en CNET dijo que "Amazon dijo que ya solucionó los problemas informados". Por ejemplo, Ng informó, Amazon eliminó la capacidad de silenciar las repeticiones, y acortó la cantidad de tiempo que Alexa podía escuchar.

Checkmarx describió lo que estaba pasando. "Para el Eco, similar al Google Home con asistente de voz, escuchar es clave. El dispositivo está escuchando continuamente para atraparte diciendo su palabra de activación (por ejemplo, 'Alexa'), para que pueda darte lo que necesitas al instante, "dijo Checkmarx.

Pero los investigadores sintieron curiosidad. ¿Podría Echo grabar a un usuario sin que el usuario se dé cuenta de que está grabado? ¿Podría ser un espía silencioso? sirviendo como un dispositivo de golpeteo?

"Amazon Echo (con su asistente virtual conocido como Alexa) es el Asistente personal inteligente (IPA) más vendido de la historia, con más de 31 millones de dispositivos vendidos hasta la fecha, "dijo Checkmarx." Sin embargo, con su aumento de popularidad, una de las principales preocupaciones de las API es la privacidad, "y señalaron que las preocupaciones incluían el temor de ser registrados sin saberlo.

Maty Siman y Shimi Eshkenazi trabajaron en el laboratorio de Checkmarx para ver qué podría pasar si intentaban convertir su Amazon Echo en un dispositivo de escucha.

Cableado reflexionó sobre cómo ni siquiera tuvieron que involucrarse en piratear el asistente de voz para convertirlo en un espía; escuchar a escondidas provino de una codificación inteligente.

Lily Hay Newman escribió sobre cómo lo resolvieron. Dijo que los investigadores crearon "un subprograma malicioso de Alexa, conocido como 'habilidad', que podría cargarse en la tienda de habilidades de Amazon".

(Pero, ¿qué es Skill? Ng explicó que Alexa usa Skills para ejecutar comandos. "Preguntas si va a llover, por ejemplo, y Alexa usa la habilidad 'Clima' para responder ").

Newman escribió:"Para usar una habilidad, tiene que decir la palabra de activación de su dispositivo para que el micrófono comience a enviar audio a través de Internet para su procesamiento. En el ejemplo de Checkmarx, cuando el usuario luego le pide a su calculadora habilitada que haga algunos cálculos matemáticos simples, esa solicitud se dirige a la habilidad, que devuelve la respuesta ".

Ahí es donde las cosas se pusieron interesantes. Aunque la interacción terminaría ahí, y el micrófono dejaba de transmitir, el equipo programó la habilidad para que "una funcionalidad de desarrollador llamada 'shouldEndSession' mantuviera automáticamente al Echo escuchando durante otro ciclo". Y, con más movimientos por parte de los investigadores, encontraron que el Echo permanecería silencioso y no dejaría saber al usuario que la sesión continuaba.

Checkmarx le contó a Amazon sobre su escenario de ataque y Amazon escuchó (sin intención de sarcasmo).

Checkmarx enumeró algunas de las medidas que se implementaron:Establecer criterios específicos para identificar (y rechazar si es necesario) las habilidades de escucha durante la certificación; detectar reprompts vacíos y tomar las acciones apropiadas; detectar sesiones más largas de lo habitual y tomar las medidas adecuadas.

Ng en CNET:Checkmarx dijo que las correcciones de Amazon hicieron imposible repetir la misma táctica de espionaje. En cuanto a la reacción de Amazon, realizado en Cableado :Un portavoz de la empresa en un comunicado dijo que, "Hemos implementado mitigaciones para detectar este tipo de comportamiento de habilidades y rechazamos o suprimimos esas habilidades cuando lo hacemos".

© 2018 Tech Xplore