Investigadores académicos han conseguido que el Amazon Echo, el altavoz inteligente del gigante del comercio electrónico, se hackee a si mismo, y permita que un extraño pueda hacer compras o llamadas telefónicas. Incluso abrir puertas y activar accesorios conectados en una casa, incluyendo microondas, luces o temperatura.

El ataque a los Amazon Echo se consigue usando el modo altavoz para emitir comandos de voz. Incluso aquellos sensibles, que requieren confirmación verbal antes de ser ejecutados. En esos casos lograron esquivar la medida de seguridad agregando la palabra "sí" unos seis segundos después.

La idea es emitir comandos de voz por medio del Amazon Echo invocando a Alexa, que funciona en los propios altavoces para que sean ejecutados. Es por eso que los investigadores de la Univesidad de Royal Holloway en Londres y la Universidad de Catania que descubrieron la vulnerabilidad lo han bautizado como Alexa vs. Alexa. Ya que el ataque básicamente consigue que el dispositivo efectúe comandos emitidos por el propio dispositivo.

Como funciona el hackeo a los Amazon Echo

El hackeo se realiza conectando un Amazon Echo al dispositivo del atacante. Si altavoz no tiene las últimas versiones de firmware, es puede hacer también con una estación de radio. Una vez vulnerado, se utiliza una app de texto a voz para decir comandos que Alexa termina efectuando.

Con el control del Amazon Echo, se puede forzar al dispositivo a hacer toda clase de comandos, incluyendo algunos con serias consecuencias de seguridad o privacidad. Esto incluye poder interactuar con dispositivos inteligentes en casa, como luces, apagar o encender un microondas, o desbloquear cerraduras inteligentes.

También fueron capaces de hacer llamadas telefónicas, hacer compras en Amazon, crear, cambiar o borrar citas en el calendario emparejado con el dueño del Echo. Los investigadores que descubrieron la vulnerabilidad explican en una web dedicada a la vulnerabilidad, que la única forma de evitarla es apagar el micrófono del Echo cuando no se está utilizando Alexa.

No funciona vía internet

La única buena noticia es que Alexa vs Alexa (AvA) no funcionan vía internet. Hay que estar físicamente cerca de un Amazon Echo para poder hackearlo. Esto limita el número de casos, pero demuestra los peligros de tener aparatos en casa que están escuchando todo el tiempo.

No es la primera vez que logran conseguir hackear un dispositivo con asistentes inteligentes de voz. En 2019 otro equipo de investigadores de seguridad mostraron cómo Siri, Alexa y Google Assistant eran vulnerables a ataques usando láser de baja potencia que emitían comandos de voz inaudibles con lo que se puede "hablar" con el dispositivo y así interactuar con otros dispositivos de otras marcas.

En el caso de este ataque, el láser podía ser emitido desde otro edificio a un máximo de 110 de metros de distancia. Incluso a través de ventanas de cristal.

Lo que dice Amazon

Desde Amazon España se han puesto en contacto con Hipertextual para manifestar su postura al respecto:

“En Amazon, la privacidad y la seguridad son fundamentales a la hora de diseñar y ofrecer cada dispositivo, funcionalidad o servicio. Reconocemos y valoramos el trabajo de los investigadores de seguridad independientes que nos alertan sobre potenciales problemas, y nos comprometemos a trabajar con ellos para hacer que nuestros dispositivos sean más seguros. Hemos solucionado el asunto de la activación automática remota con Alexa Skills causado por periodos prolongados de inactividad como resultado de tags rotos, como demostraron los investigadores. También tenemos sistemas que supervisan en tiempo real las Skills para detectar el comportamiento potencialmente perjudicial, incluyendo reprompts silenciosos. Cualquier Skill ofensiva identificada es bloqueada durante la certificación o se desactiva rápidamente, y trabajamos constantemente en mejorar estos mecanismos para proteger aún más a nuestros clientes.”