Underc0de

Los investigadores han descubierto lagunas en el proceso de investigación de habilidades de Amazon para el ecosistema del asistente de voz de Alexa que podrían permitir que un actor malintencionado publique una habilidad engañosa bajo cualquier nombre de desarrollador arbitrario e incluso realice cambios en el código de backend después de la aprobación para engañar a los usuarios para que proporcionen información confidencial.

Los hallazgos fueron presentados el miércoles en la conferencia Network and Distributed System Security Symposium (NDSS) por un grupo de académicos de la Ruhr-Universität Bochum y la Universidad Estatal de Carolina del Norte, quienes analizaron 90194 habilidades disponibles en siete países, incluidos los EE. UU. Y el Reino Unido. , Australia, Canadá, Alemania, Japón y Francia.

Amazon Alexa permite a los desarrolladores externos crear funcionalidades adicionales para dispositivos como los altavoces inteligentes Echo mediante la configuración de "habilidades" que se ejecutan en la parte superior del asistente de voz, lo que facilita a los usuarios iniciar una conversación con la habilidad y completar una tarea específica. .

El principal de los hallazgos es la preocupación de que un usuario pueda activar una habilidad incorrecta, lo que puede tener graves consecuencias si la habilidad que se activa está diseñada con una intención insidiosa.

El problema surge del hecho de que varias habilidades pueden tener la misma frase de invocación.

De hecho, la práctica es tan frecuente que la investigación detectó 9,948 habilidades que comparten el mismo nombre de invocación con al menos otra habilidad solo en la tienda de EE. UU. En las siete tiendas de habilidades, solo 36,055 habilidades tenían un nombre de invocación único.


Dado que los criterios reales que utiliza Amazon para habilitar automáticamente una habilidad específica entre varias habilidades con los mismos nombres de invocación siguen siendo desconocidos, los investigadores advirtieron que es posible activar la habilidad incorrecta y que un adversario puede salirse con la suya con las habilidades de publicación utilizando una empresa conocida. nombres.

"Esto sucede principalmente porque Amazon actualmente no emplea ningún enfoque automatizado para detectar infracciones por el uso de marcas comerciales de terceros, y depende de la investigación manual para detectar esos intentos malévolos que son propensos a errores humanos", explicaron los investigadores . "Como resultado, los usuarios pueden quedar expuestos a ataques de phishing lanzados por un atacante".

Peor aún, un atacante puede realizar cambios de código después de la aprobación de una habilidad para persuadir a un usuario de que revele información confidencial como números de teléfono y direcciones activando una intención inactiva.

En cierto modo, esto es análogo a una técnica llamada control de versiones que se utiliza para eludir las defensas de verificación. El control de versiones se refiere a enviar una versión benigna de una aplicación a la tienda de aplicaciones de Android o iOS para generar confianza entre los usuarios, solo para reemplazar el código base con el tiempo con funciones maliciosas adicionales a través de actualizaciones en una fecha posterior.

Para probar esto, los investigadores desarrollaron una habilidad de planificador de viajes que permite al usuario crear un itinerario de viaje que luego se modificó después de la verificación inicial para "preguntar al usuario su número de teléfono para que la habilidad pueda enviar un mensaje de texto (SMS) directamente al itinerario de viaje ", engañando así al individuo para que revele su (o ella) información personal.


Además, el estudio descubrió que el modelo de permiso que utiliza Amazon para proteger los datos confidenciales de Alexa puede eludirse. Esto significa que un atacante puede solicitar directamente datos (por ejemplo, números de teléfono, detalles de Amazon Pay, etc.) del usuario que fueron diseñados originalmente para estar acordonados por API de permiso.

La idea es que, si bien las habilidades que solicitan datos confidenciales deben invocar las API de permiso, no impide que un desarrollador deshonesto solicite esa información directamente al usuario.

Los investigadores dijeron que identificaron 358 de tales habilidades capaces de solicitar información que idealmente debería estar asegurada por la API.


Por último, en un análisis de las políticas de privacidad en diferentes categorías, se encontró que solo el 24,2% de todas las habilidades proporcionan un enlace a la política de privacidad, y que alrededor del 23,3% de dichas habilidades no revelan completamente los tipos de datos asociados con los permisos solicitados.

Al señalar que Amazon no exige una política de privacidad para las habilidades dirigidas a niños menores de 13 años, el estudio planteó preocupaciones sobre la falta de políticas de privacidad ampliamente disponibles en las categorías "niños" y "salud y estado físico".

"Como defensores de la privacidad, creemos que las habilidades relacionadas con 'niños' y 'salud' deben cumplir con estándares más altos con respecto a la privacidad de los datos", dijeron los investigadores, al tiempo que instaron a Amazon a validar a los desarrolladores y realizar comprobaciones recurrentes de backend para mitigar dichos riesgos.

"Si bien estas aplicaciones facilitan la interacción de los usuarios con dispositivos inteligentes y refuerzan una serie de servicios adicionales, también plantean problemas de seguridad y privacidad debido al entorno personal en el que operan", agregaron.

Vía: The Hacker News