Han publicado en Voicebot que Amazon ha parcheado un fallo de seguridad de Alexa que fue notificado en Junio. El fallo, descubierto por Cybersecurity Researchers, permitía el control de la cuenta de un usuario, además de poder acceder a toda su información e historial de comandos.
Se trata de un fallo importante que podía hacer que un atacante controlara la cuenta de un usuario. El atacante tendría enviar un enlace de la tienda de Amazon, modificado para incluir el código malicioso. Una vez pulsado en dicho enlace, la cuenta del usuario podría ser controlada por el atacante. Éste, podría activar o desactivar Skills, así como poder acceder a todo el historial de comandos y los datos del usuario.
Afortunadamente, parece que Amazon tomó en serio este aviso de seguridad, y, como decimos en el asunto de la noticia, ya está parcheado. En el vídeo se puede ver como son capaces de controlar las cosas de la casa, gracias a los Skills instalados en la cuenta del usuario, por lo que, en resumen, por culpa de este fallo de seguridad, el asistente virtual de la gente, estaba totalmente a merced de los atacantes. Todo esto, sin que el atacante tuviera que hacer nada más que pulsar en el enlace de Amazon con código malicioso.
La seguridad en la domótica
Cuando empecé con el blog, una de las primeras noticias que publiqué hablaba sobre la seguridad en la domótica. Tenemos ante nosotros un “boom” de dispositivos que están conectados a la nube de diferentes proveedores. Muchas veces no tomamos en serio la clave ni activamos la autenticación con 2 factores (como obliga Google ahora). Esto expone nuestra privacidad y la seguridad de nuestra casa, por lo que los grandes de la tecnología son conscientes que el objetivo actual a parchear es todo lo referente a sus sistemas.
Más info aquí.
La entrada Amazon parchea un fallo de seguridad de Alexa que permitía el control de la cuenta de un usuario se publicó primero en Domótica en Casa.