O Security Research Labs (SR Labs), laboratório de pesquisa da Alemanha, informou, no final de semana, que descobriu duas vulnerabilidades de segurança comuns ao Amazon Alexa e ao Google Assistente relacionadas a um ataque de phishing e de escuta passiva. Para a sua pesquisa, o SR Labs criou e recebeu certificação para uma série de skill e action que exploraram vulnerabilidades de segurança nos assistentes de voz.
Em um post em seu site no domingo, 20 de outubro, o SR Labs divulgou dois ataques. Um deles mostrou como um desenvolvedor, usando os kits de desenvolvimento de software padrão Alexa Skills Kit (ASK) ou Actions on Google (AoG), podia criar um aplicativo de voz que levava o usuário a pensar que a Alexa ou o Google Assistente estavam pedindo sua senha para fornecer uma atualização do sistema.
O SR Labs, no segundo caso, mostrou que, usando-se as mesmas ferramentas, era possível deixar um microfone aberto após uma skill aparentemente ter parado e conduzir uma escuta passiva de informações privadas. Os dois ataques foram relatos à Amazon e ao Google há mais de três meses antes de o laboratório fazer a divulgação no final de semana.
Na semana passada, milhares de actions do Google Assistente no mundo desapareceram, o que, talvez, possa ter acontecido por conta das vulnerabilidades relatadas pelo SR Labs. A Amazon e Google se posicionaram em declarações ao site de notícias de tecnologia Ars Technica.
“A confiança do cliente é importante para nós e realizamos revisões de segurança como parte do processo de certificação de skills. Nós rapidamente bloqueamos a skill em questão e colocamos mitigações em prática para prevenir e detectar esse tipo de comportamento de skill e rejeitá-las ou derrubá-las quando identificadas”, disse a Amazon.
Um porta-voz do Google também deu o posicionamento da empresa:
“Todas as actions no Google devem seguir as nossas políticas de desenvolvimento e proibimos e removemos qualquer action que viole essas políticas. Temos processos de revisão para detectar o tipo de comportamento descrito neste relatório e removemos as actions que encontramos desses pesquisadores. Estamos implementando mecanismos adicionais para evitar que esses problemas ocorram no futuro”.
A vulnerabilidade da segurança na Alexa e no Google Assistente envolve uma questão bem crítica: a privacidade dos dados dos usuários, já questionada em uma série de países.
Fonte: Voicebot.ai