Los atacantes pueden obligar a los Amazon Echo a hackearse con comandos autodirigidos
Investigadores académicos han ideado un nuevo exploit de trabajo que comanda los altavoces inteligentes Amazon Echo y los obliga a desbloquear puertas, hacer llamadas telefónicas y compras no autorizadas, y controlar hornos, hornos de microondas y otros aparatos inteligentes.

El ataque funciona utilizando el altavoz del dispositivo para emitir órdenes de voz. Siempre que la voz contenga la palabra de activación del dispositivo (normalmente “Alexa” o “Echo”) seguida de una orden permitida, el Echo la ejecutará, según descubrieron los investigadores de la Universidad Royal Holloway de Londres y la Universidad de Catania de Italia. Incluso cuando los dispositivos requieren una confirmación verbal antes de ejecutar comandos sensibles, es trivial eludir la medida añadiendo la palabra “sí” unos seis segundos después de emitir el comando. Los atacantes también pueden explotar lo que los investigadores llaman la “FVV”, o vulnerabilidad de voz completa, que permite a los Echo realizar comandos autoemitidos sin reducir temporalmente el volumen del dispositivo.
Alexa, ve a hackearte
Dado que el hackeo utiliza la funcionalidad de Alexa para forzar a los dispositivos a emitir órdenes por sí mismos, los investigadores lo han bautizado como “AvA”, abreviatura de Alexa contra Alexa. Sólo se necesitan unos segundos de proximidad a un dispositivo vulnerable mientras está encendido para que un atacante pueda pronunciar una orden de voz que le indique que se empareje con un dispositivo con Bluetooth del atacante. Mientras el dispositivo permanezca dentro del rango de radio del Echo, el atacante podrá emitir órdenes.
El ataque “es el primero que explota la vulnerabilidad de autoemitir comandos arbitrarios en los dispositivos Echo, permitiendo a un atacante controlarlos durante un tiempo prolongado”, escribieron los investigadores en un paper publicado hace dos semanas. “Con este trabajo, eliminamos la necesidad de tener un altavoz externo cerca del dispositivo objetivo, aumentando la probabilidad general del ataque”.
Una variante del ataque utiliza una emisora de radio maliciosa para generar los comandos autoemitidos. Ese ataque ya no es posible en la forma mostrada en el documento tras los parches de seguridad que el fabricante de Echo, Amazon, publicó en respuesta a la investigación. Los investigadores han confirmado que los ataques funcionan contra los dispositivos Echo Dot de tercera y cuarta generación.

El AvA comienza cuando un dispositivo Echo vulnerable se conecta por Bluetooth al dispositivo del atacante (y en el caso de los Echo no parcheados, cuando reproducen la emisora de radio maliciosa). A partir de ese momento, el atacante puede utilizar una aplicación de texto a voz u otros medios para transmitir comandos de voz. Aquí hay un vídeo de AvA en acción. Todas las variantes del ataque siguen siendo viables, con la excepción de lo que se muestra entre el 1:40 y el 2:14:
Los investigadores descubrieron que podían utilizar AvA para forzar a los dispositivos a realizar una serie de comandos, muchos de ellos con graves consecuencias para la privacidad o la seguridad. Las posibles acciones maliciosas incluyen:
- Controlar otros electrodomésticos inteligentes, como apagar las luces, encender un horno microondas inteligente, ajustar la calefacción a una temperatura insegura o desbloquear las cerraduras de las puertas inteligentes. Como se ha señalado anteriormente, cuando los echos requieren confirmación, el adversario sólo tiene que añadir un “sí” a la orden unos seis segundos después de la solicitud.
- Llamar a cualquier número de teléfono, incluso a uno controlado por el atacante, para poder escuchar los sonidos cercanos. Aunque los Echo utilizan una luz para indicar que están realizando una llamada, los dispositivos no siempre son visibles para los usuarios, y los usuarios menos experimentados pueden no saber qué significa la luz.
- Realizar compras no autorizadas utilizando la cuenta de Amazon de la víctima. Aunque Amazon enviará un correo electrónico notificando a la víctima de la compra, el correo puede perderse o el usuario puede perder la confianza en Amazon. Además, los atacantes también pueden eliminar los artículos que ya están en el carrito de la cuenta.
- Manipular el calendario previamente vinculado de un usuario para añadir, mover, eliminar o modificar eventos.
- Suplantar habilidades o iniciar cualquier habilidad a elección del atacante. Esto, a su vez, podría permitir a los atacantes obtener contraseñas y datos personales.
- Recuperar todas las expresiones realizadas por la víctima. Utilizando lo que los investigadores llaman un “ataque de máscara”, un adversario puede interceptar los comandos y almacenarlos en una base de datos. Esto podría permitir al adversario extraer datos privados, reunir información sobre las habilidades utilizadas e inferir los hábitos del usuario.
Los investigadores escribieron:
Con estas pruebas, demostramos que AvA puede utilizarse para dar órdenes arbitrarias de cualquier tipo y longitud, con resultados óptimos; en particular, un atacante puede controlar las luces inteligentes con una tasa de éxito del 93%, comprar con éxito artículos no deseados en Amazon el 100% de las veces y manipular [con] un calendario vinculado con una tasa de éxito del 88%. Los comandos complejos que tienen que ser reconocidos correctamente en su totalidad para tener éxito, como llamar a un número de teléfono, tienen una tasa de éxito casi óptima, en este caso del 73%. Además, los resultados mostrados en la Tabla 7 demuestran que el atacante puede configurar con éxito un Ataque de Enmascaramiento de Voz a través de nuestra habilidad de Ataque de Enmascaramiento sin ser detectado, y todos los enunciados emitidos pueden ser recuperados y almacenados en la base de datos del atacante, concretamente 41 en nuestro caso.
[content-egg module=Youtube template=custom/simple]Lo más visto del mes en: Informática

Laura Andrade
Laura Andrade es una periodista freelance especializada en la investigación de la electrónica de consumo, especialmente de smartphones, tabletas y ordenadores. Actualmente participa en varios proyectos en los que se ha encargado de escribir sobre lanzamientos de nuevos productos digitales, aplicaciones, sitios y servicios para publicaciones impresas o en línea. Está constantemente estudiando las últimas tecnologías para estar siempre al día.