Petr Škuta No hace mucho tiempo hubo un escándalo en Internet sobre las escuchas ilegales de los usuarios. Los altavoces inteligentes de Amazon y Google desempeñaron un papel destacado. Ahora resulta que muchas aplicaciones de terceros pueden hacer aún más.
Los parlantes inteligentes de Amazon y Google son diferentes a los de Apple HomePod una vez funcion esencial. Permiten que aplicaciones de terceros utilicen el hardware del dispositivo. Los ingenieros de software de ambas empresas libran así una batalla interminable contra los hackers, que siempre van un paso por delante.
Expertos en seguridad compartieron con el servidor ZDNet sobre sus hallazgos. Todo el ataque al usuario consiste en utilizar una simple laguna en el funcionamiento del sistema operativo del altavoz con micrófono incorporado.
Esto se debe a que las aplicaciones de terceros tienen la capacidad de acceder al micrófono del orador sólo por un límite de tiempo limitado. Sin embargo, existe la opción de ampliar este tiempo en el caso de que no fuera posible comprender el comando del usuario. Y este es exactamente el camino que utilizan los piratas informáticos.
Se produjo un error de conexión. Por favor ingresa la contraseña de tu cuenta de Google
El comportamiento estándar de la aplicación corresponde aproximadamente a la siguiente situación:
Le pido a Alexa que agregue artículos al carrito de compras de mi aplicación desde una cadena de tiendas. La aplicación verifica el historial de pedidos para comparar los parámetros de los productos y luego me pide confirmación. Al mismo tiempo activa el micrófono y espera una respuesta de sí o no. Si no contesto, el micrófono se apaga después de unos segundos.
Sin embargo, existe una manera de omitir el silencio del micrófono. Esto se puede lograr con una cadena de texto especial "�. ”escrito en el código de la aplicación. Esto puede aumentar fácilmente el tiempo de activación del micrófono de unos pocos segundos a mucho más. De este modo, la aplicación puede espiar al usuario en todo momento.
La segunda opción es aún más insidiosa. La cadena se puede utilizar y configurar incluso para el procesamiento de una instrucción de audio. Posteriormente, se puede obligar a la aplicación a solicitar una contraseña para, por ejemplo, una cuenta de Amazon o Google. Los videos a continuación muestran claramente todo el procedimiento.
Podría ser te interesa
David Hanak Mientras tanto, Apple no permite que aplicaciones de terceros accedan directamente al micrófono del HomePod, y probablemente nunca lo hará en la misma medida que Amazon y Google. Todos los desarrolladores deben utilizar una API especial que maneje la voz. Sus usuarios están a salvo por ahora.
