Vulnerabilidad: Cómo el eco de Amazon se convierte en un bug

Los hackers pueden usar una vulnerabilidad para convertir los modelos más antiguos del eco Amazon en un bug. Un agujero de seguridad en los modelos más antiguos del eco de altavoz Bluetooth de Amazon convierte al Smart Home Assistant en un error desapercibido.

MWR InfoSecurity

Los expertos en seguridad de MWR InfoSecurity pudieron hacer del dispositivo un instrumento auditivo en una prueba sin restringir las funciones de Alexa. Para ejecutar el hack, los atacantes deben tener contacto físico directo con el altavoz de eco, pero la manipulación del propietario del altavoz es apenas detectable.

La brecha de seguridad se crea por dos opciones de diseño: las almohadillas de depuración de libre acceso al pie del altavoz y una configuración de hardware que permite al dispositivo arrancar desde una tarjeta SD. Usando estas dos funciones, un atacante puede acceder al shell raíz del sistema operativo Linux y ejecutar su ataque.

La herramienta del hacker

Al quitar el pie de goma en la parte inferior del altavoz, los investigadores de seguridad obtuvieron acceso a 18 pads de depuración que se pueden utilizar para arrancar el firmware de una tarjeta SD y ejecutar malware sobre ella. Después de la instalación, se puede retirar la herramienta del hacker y volver a colocar el pie de goma – sin dejar rastro.

Siempre que se disponga de los scripts adecuados, el micrófono integrado puede transmitir todas las grabaciones de audio a un servidor remoto a través del malware inducido.

Desde lejos, los hackers podían escuchar todas las conversaciones que se hacen en presencia del altavoz de eco. La vulnerabilidad afecta a los modelos de Eco Amazónico desde 2015 y 2016, pero no hay amenaza para el modelo de Eco Punto y Eco Amazónico 2017. Para protegerse contra las escuchas, los propietarios de eco deben usar el botón de silenciamiento y comprar el altavoz sólo a vendedores de confianza.

Responder