Borrar
FOTOLIA
Amazon y Google aprobaron apps que escuchaban a sus usuarios constantemente

Amazon y Google aprobaron apps que escuchaban a sus usuarios constantemente

SEGURIDAD ·

Los hackers introdujeron una variación en su lenguaje de programación para ejecutar las skills y actions en segundo plano

José Antonio González

Madrid

Miércoles, 23 de octubre 2019, 06:39

Necesitas ser suscriptor para acceder a esta funcionalidad.

Compartir

El 2019 se ha convertido en el año de los altavoces inteligentes, el 7% de los hogares españoles ya cuentan con uno en sus habitaciones, salones o cocinas. Google Home ha conseguido hacerse con una cuota de mercado del 45%, seguido de los Amazon Echo, con una cuota del 38% y, en tercer lugar, y muy por detrás, los Homepod de Apple, con una porción del mercado del 6%, según la AIMC.

Este ejercicio también ha sido en el que se ha confirmado que los trabajadores de Amazon y Google pueden escuchar las conversaciones de sus usuarios y ahora la apuesta sube al descubrir que los hackers pueden usar altavoces inteligentes con Alexa y Google Home para escuchar también a los usuarios.

Así lo revela la última investigación de Security Research Labs (SRLabs). Los expertos de esta firma de seguridad crearon una serie a aplicaciones espía que lograron verificar sus temores. Debido a un importante agujero en el proceso de aprobación, las apps espía podían escuchar en todo momento las conversaciones de los usuarios de los altavoces inteligentes de Amazon y de Google.

Durante la investigación, los expertos alemanes desarrollaron cuatro skills para Alexa y cuatro actions para Google. Las ocho pasaron los pertinentes controles establecidos por los dos gigantes estadounidenses.

Su funcionamiento era simple: recitar el horóscopo cuando les era pedido. Se activaban sólo con decir en voz alta cuestiones como «Pregunta a My Lucky Horoscope que me diga el horóscopo para Cáncer» o cualquier otro.

La skill o acción funcionan correctamente, pero una vez activada se queda permanentemente en segundo plano. De esta forma, para el usuario parece que Alexa y Google Home han vuelto a tomar el control, cuando en realidad el altavoz aún está ejecutando la app.

Al continuar su ejecución, estas aplicaciones continúan registrando todo lo que capta el micrófono y almacenándolo en sus servidores.

Según explican los investigadores de SRLabs, el truco se centra en el lenguaje de programación de las skills de Amazon y las actions de Google Home. El error está en los comandos que dan vida a los motores de síntesis de habla de ambos asistentes.

Los hackers indicaron que tenía que decir el carácter «.». Como no se puede pronunciar, el asistente se queda mudo, un periodo durante el cual la app sigue funcionando sin que el usuario lo sepa.

Tras descubrir este error, SRLabs avisó a Amazon y a Google antes de hacer pública esta investigación. En respuesta, ambas compañías expulsaron las apps creadas por SRLabs y cambiaron la metodología de aprobación, con el objetivo de evitar la entrada de apps similares.

Reporta un error en esta noticia

* Campos obligatorios