Una serie de vulnerabilidades están afectando al servicio de asistencia virtual de la nube de Amazon, comúnmente conocido como Alexa.
Según investigadores de ciberseguridad, estas vulnerabilidades hicieron posible que los ciberdelincuentes cambien las facultades de Alexa. Por lo que pueden acceder a información almacenada, escuchar grabaciones de voz y ver datos personales.
Identificadas por la empresa de software de seguridad Check Point, estas vulnerabilidades afectaron a subdominios específicos utilizados por Amazon y Alexa.
La vulnerabilidades estaban presentes en los servidores de Amazon, no en los dispositivos de Amazon Echo u otros dispositivos habilitados por Alexa.
A ojos de la compañía, el fallo en los subdominios pudo haber sido explotado de «varias formas diferentes» por los ciberdelincuentes. Dado que se pueden ampliar las capacidades de Alexa instalando skills adicionales.
La información personal almacenada en Alexa y el uso del dispositivo como centro de control del hogar convierte a estos asistentes en uno de los objetivos más atractivos para los cibercriminales.
Una de ellas, la más común, habría sido crear una página maliciosa en los dominios de Amazon.com o Alexa.com, distribuir un enlace a esa página para que las víctimas hagan clic y, desde ahí, comenzar a operar con los datos personales.
Según ha desvelado Check Point, esta página capturaba un token de autorización específico y, con él, el atacante lograba acceder a la cuenta de Alexa de la víctima.
A partir de ahí, según Check Point, el atacante podría haber eliminado una aplicación instalada de Alexa y reemplazarla por una aplicación maliciosa del mismo nombre. La aplicación maliciosa se ejecutaría la próxima vez que la víctima la llamara usando un dispositivo Alexa.
«El ataque sólo requería que el usuario hiciera un solo clic en un enlace malicioso creado y enviado por el hacker, y que la víctima interactuara con la voz», advierte la empresa de ciberseguridad quien, eso sí, subraya la rápida y eficiente respuesta de Amazon para solventar las vulnerabilidades.
AHORA LEE: La televisión ‘invisible’ de Xiaomi: una pantalla OLED transparente de 55 pulgadas y la primera en ser producida en masa
TAMBIÉN LEE: Apple retiró al videojuego ‘Fortnite’ de la App Store; Epic Games, desarrollador del juego, buscará acción legal