2018/04/26

Falha na Alexa permitia ficar sempre à escuta


Uma das preocupações de quem considera usar um Amazon Echo ou Google Home em casa é saber se não será usado para escutar continuamente aquilo que é dito, e era precisamente isso que podia ser feito abusando das "skills" da Alexa.

A maioria dos utilizadores confia que estes sistemas só comecem a escutar "a sério" após ser dita a frase de activação, e que regressem a esse estado assim que o comando falado é executado. No entanto, um interveniente malicioso podia criar uma skill para a Alexa que possibilitava ficar permanentemente à escuta por tempo ilimitado.

A API da Amazon permite que uma skill possa pedir ao utilizador que repita o comando caso não tenha sido bem percebido. Investigadores demonstraram que esse pedido podia ser subvertido e feito de modo silencioso mesmo após um comando ter sido reconhecido sem erros. O efeito prático era o de deixar um Amazon Echo, ou equipamentos compatíveis, continuamente à escuta e por tempo ilimitado, com o atacante a ter acesso a tudo o que fosse dito.

A Amazon rectificou rapidamente o problema, mas este caso vem relembrar que, quantos mais dispositivos inteligentes vamos colocando em nossas casas, mais serão as "portas" de entrada para potenciais ataques...

1 comentário:

[pub]