Pesquisadores da Universidade Holloway University, na Inglaterra, e da Universidade de Catania, na Itália revelaram em um artigo que a assistente de voz Alexa podia ser hackeada para controlar outros dispositivos Echo. Em resposta à pesquisa, a empresa emitiu patches para corrigir essa vulnerabilidade da Alexa.
Assim, já não é mais possível usar skills de uma assistente via Bluetooth para atacar outra. Além disso, a empresa informou que qualquer skill que ofereça esse tipo de risco será bloqueada durante o processo de certificação ou “desativada rapidamente”.
Batizado pelos pesquisadores “Alexa versus Alexa”, desde que os hackers estivessem nas proximidades do dispositivo, eles podiam fazer qualquer comando. Por exemplo, com essa vulnerabilidade do sistema, era possível destrancar fechaduras inteligentes, ligar/desligar luzes e termostatos ou, até mesmo, fazer compras de forma não autorizada.
Além disso, os pesquisadores descobriram que era possível contornar a confirmação verbal por meio do comando “sim”, para ser reproduzido automaticamente após seis segundos.
Um outro elemento investigado pelos pesquisadores foi a possibilidade de criar uma skill silenciosa que faz o usuário pensar que está falando com a Alexa, quando na verdade é o invasor que está respondendo os comandos.
Nesse caso, o hacker podia usar um recurso que converte texto em fala para se passar pela assistente de voz. Esse tipo de ataque é chamado de “man-in-the-middle” e com ele o invasor podia espionar todos os comandos feitos para a Alexa. Como é mostrado no vídeo acima, nesse tipo de invasão o hacker tem total controle sobre o que a assistente vai dizer para o usuário.
Apesar da correção rápida da Amazon, casos parecidos já aconteceram com a assistente de voz. Segundo o site Tom’s Guide, funcionários da empresa podiam ouvir áudios dos usuários, além de skills aprovadas que podiam enganar as pessoas para que elas revelassem as senhas.
