A pesar de que Amazon ya solucionó el inconveniente, compañías de ciberseguridad recomienda tomar precauciones.
La empresa de seguridad digital, Check Point, un defecto que sostenía el asistente virtual desarrollado por Amazon, Alexa, donde se ponía en riesgo el historial de busqueda de sus usuarios.
El hackers al descubrir la vulnerabilidad podría haber eliminado una habilidad existente e instalado una maliciosa para tomar más datos después del ataque inicial.
«Los asistentes virtuales son algo con lo que solo hablas y responde, y por lo general no tienes en tu mente algún tipo de situaciones o preocupaciones maliciosas «, dice Oded Vanunu, jefe de investigación de vulnerabilidades de productos de Check Point. «Pero encontramos una cadena de vulnerabilidades en la configuración de infraestructura de Alexa que finalmente permite un atacante malintencionado recopilar información sobre los usuarios e incluso instalar nuevas habilidades».
Amazon ya solucionó el problema
Amazon solventó el defecto, pero la evidencia que demuestra también puede ser letal ya que se descubrió que esta vulnerabilidad podría haber producido información de perfil, incluida la dirección de inicio, así como todas las «habilidades», o aplicaciones, que el usuario había añadido para Alexa. [19659007] ¿Cómo operaba los atacantes?
Los hackers podrían dirigir a los usuarios a track.amazon.com, una página vulnerable no relacionada con Alexa, pero utilizada para rastrear paquetes de Amazon, y ahí el atacante podría haber inyectado código que les permitiera pivotar a la infraestructura de Alexa, enviando una solicitud especial junto con las cookies del objetivo desde la página de seguimiento de p aquetes para skillsstore.amazon.com/app/secure/your-skills-page.
De acuerdo al sitio Wired.com, la plataforma confundiría al atacante con el usuario legítimo, y el hacker podría acceder a la historia de audio completa de la víctima, lista de habilidades instaladas, y otros detalles de la cuenta.
«La seguridad de nuestros dispositivos es una prioridad, y apreciamos el trabajo de investigadores independientes como Check Point que nos traen problemas potenciales», dijo un portavoz de Amazon a WIRED en un comunicado. «Hemos solucionado este problema poco después de que nos llamara la atención, y seguimos fortaleciendo aún más nuestros sistemas. No somos conscientes de que se utilizan casos de esta vulnerabilidad contra nuestros clientes o de que se exponga información de clientes».
Protección para este tipo de situaciones
Es recomendable borrar con más el historial de búsqueda con Alexa. Para eso debes:
Abrir la aplicación Alexa en tu teléfono y pulsar Configuración> Historial. En esta vista sólo se puede eliminar entradas una por una.
Para eliminar en masa, vaya a Configuración de privacidad de Alexa en el sitio web de Amazon y, a continuación, elija Revisar el historial de voz. También puede eliminar verbalmente diciendo, «Alexa, eliminar lo que acabo de decir» o «Alexa, eliminar todo lo que dije hoy.»
.
