The IT Mag

Skill squatting, el espía que podría afectar los asistentes de voz

3 minutos de lectura
Por Alejandro Nájera - noviembre 27, 2018    ataques cibernéticos, destacado,

https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-kumar.pdf

Una de las principales ideas que surgió con la llegada del asistente vocal de Amazon, Alexa, es que sería capaz de responder cualquier cosa con tan sólo conectarlo, sin embargo, en realidad primero se tienen que descargar ciertas skills.

Para verlo de una manera sencilla, una skill es a los dispositivos vocales de Amazon, lo que las apps a los smartphones. En el primer caso, se manifiesta como una orden que lleva a cabo el aparato al escuchar cierta palabra.

Hay algunas skills que están integradas a los dispositivos de Amazon por fábrica, como “sube el volumen” o “programa una alarma”.

Incluso, Amazon ha abierto el panorama para que desarrolladores externos usen la plataforma Alexa para proporcionar skills personalizadas. Algunos ejemplos de lo anterior son en los medios de comunicación, que permiten leer sus principales noticias u otras compañías, también han desarrollado, habilidades para realizar una orden de supermercado a determinada cadena.

Sin embargo, últimamente, se han visto casos de skill squatting, que sería la tergiversación de nuestra frase: la orden dictada se asocia con otra fonéticamente similar, a pesar de que lo dicho nunca tuvo la intención de que abriera otra habilidad.

Y si bien, la mala pronunciación o los malentendidos son algo que le puede ocurrir a cualquiera, no se contaba que con la creación de asistentes vocales esto pudiera ser usado por los cibercriminales.

Un equipo de la Universidad de Illinois ha analizado los dos dispositivos de Amazon: Echo y Alexa, los cuales tienen un potencial en el uso de skills maliciosas.

En su informe, Skill Squatting Attacks on Amazon Alexa, revelaron que este modelo de ataque cuenta con mucho potencial, el cual explota las coincidencias sonoras que ciertas palabras. Esto conlleva el riesgo de activación involuntaria de skills no deseadas por parte del usuario.

Típicos errores encontrados en Alexa

"Lo preocupante es que estas habilidades, una vez suplantadas, podrían causar fugas de información significativas para los desarrolladores que no son de confianza", escribieron los expertos en el informe. Asimismo, aclararon que a diferencia de las apps para smartphones, las skills se ejecutan sin la necesidad de controles de seguridad por parte de los usuarios, como permisos, lo que los convierte en un objetivo perfecto para su uso malicioso.

 

Ladi Adefala, director de estrategia de seguridad de Fortinet, aseguró, en exclusiva para The eMag, que este tipo de técnicas maliciosas varía según el género y la posición geográfica de las personas, ya que para tener éxito deben de tener en cuenta la jerga o las keywords usadas en determinada región. “Hay skills que podrían funcionar en Inglaterra, pero no en Estados Unidos. O algo de Irlanda, no funcionaría en absoluto en Nueva Zelanda o Australia”, aseguró.

Sin embargo, comentó que el problema que ha detectado ha sido cuando se vinculan las tarjetas de crédito/débito a Alexa. “Tuve la oportunidad de observar cómo se abría una cuenta bancaria con sonidos similares a ‘amex’, eso es lo preocupante.

De igual manera, contó sobre algunos descubrimientos que ha visto, luego de adentrarse a la darknet: “normalmente, los que nos dedicamos a la ciberseguridad, nos adentramos para ver con qué andan los criminales, y me sorprendí cuando vi un post de alguien que ponía a la venta un código para inteligencia artificial en voz, sólo había para Cortana y Alexa, sin embargo, ¿cuánto se tardarán en hacerlo para otras compañías?”, finalizó Adefala.

Esto podría llevar a que sucedan robos de identidad en los dispositivos, no sólo mediante páginas web, sino por comandos de voz. Incluso, estos daños pueden tener un impacto negativo para las empresas que los lleguen a usar en las redes corporativas.

Con la llegada de Alexa a México, el país también se convierte en un objetivo potencial, sólo hace falta que los criminales encuentren las debilidades o similitudes que presenta la versión en español, por lo que es de preocupar. Una alternativa para combatir esto es investigar de donde proviene la skill que se desea bajar, así como a los desarrolladores, con el fin de evitar robos.

¿Tienes un proyecto? ¡Visita nuestra sección