La compañía de ciberseguridad Check Point ha descubierto nuevas vulnerabilidades críticas en el asistente de voz Alexa de Amazon que permiten a los atacantes hacerse con información personal de usuario e incluso con sus historiales bancarios.
Alexa, el asistente virtual y de voz de Amazon está presente en forma de aplicación para móviles y en sus dispositivos, como los altavoces inteligentes Echo. Check Point ha identificado vulnerabilidades de seguridad críticas en algunos subdominios de Amazon Alexa, como ha informado la compañía en un comunicado remitido a Europa Press.
Estos fallos de seguridad habrían permitido a un cibercriminal eliminar o instalar recursos en la cuenta de Alexa de una víctima, acceder a su historial de voz e, incluso, a sus datos personales. Amazon solucionó este problema poco después de que se informara de su existencia.
El ataque tan solo necesitaba que el usuario hiciera un simple clic en un enlace malicioso creado por el cibercriminal, haciéndose pasar por Amazon, y que la víctima interactúe con el dispositivo mediante la voz.
Si el usuario hacía clic en el enlace, permitía al atacante acceder a la información personal de la víctima, como el historial de datos bancarios, los nombres de usuario, los números de teléfono y la dirección del domicilio.
Mediante este ataque los cibercriminales también podría extraer el historial de voz de una víctima con su Alexa, instalar Skills -las aplicaciones internas del asistente- en la cuenta de la víctima sin ser advertidas, ver toda la lista de recursos de la cuenta de un usuario, e incluso eliminar recursos, informó Portaltic.
Alexa fue noticia recientemente ya que la comisaria europea de Competencia Margrethe Vestager ha comenzado a investigar el sector del Internet de las Cosas. La Comisión Europea ha iniciado una investigación sectorial cuyo objetivo es saber qué productos se venden, cómo funcionan estos mercados, qué datos se recogen, cómo se usan y cómo las compañías ganan dinero con ellos. Precisamente por ello, la Comisión pondrá especial atención en los asistentes de voz, a saber Alexa, Siri y Google Assistant.
De acuerdo a Vestager, "los resultados de esta investigación deberían ayudarnos a detectar situaciones en las que las empresas pueden haber infringido las normas de competencia". Señala, además, que aportará información útil que "puede alimentar las iniciativas reglamentarias de la Comisión" que afectan al IoT y, por último, enviar "un importante mensaje a los poderosos operadores de estos mercados de que los estamos vigilando".