Los piratas informáticos convierten a Amazon Echo en un dispositivo de espionaje usando solo una tarjeta SD

Puede sonar como una trama de Spy Kids: The Millennial Edition, pero los investigadores de seguridad descubrieron que Amazon Echo es vulnerable a la manipulación, lo que podría convertirlo en una pieza encubierta de equipo de vigilancia. Todo ello, sin afectar a su funcionalidad.

Los piratas informáticos convierten a Amazon Echo en un dispositivo de espionaje usando solo una tarjeta SD

Los piratas informáticos pudieron instalar software malicioso simplemente eliminando la base del Echo, accediendo a las 18 almohadillas de depuración y ejecutando el malware a través de una tarjeta SD externa en el firmware. Esto les dio acceso remoto al shell raíz, que a su vez les dio acceso a los micrófonos ‘siempre escuchando’.

Según Mark Barnes, consultor de seguridad de MWR InfoSeguridad: “El enraizamiento del dispositivo Amazon Echo en sí era trivial; sin embargo, plantea una serie de preguntas importantes para los fabricantes de dispositivos habilitados para Internet o ‘Smart Home’”.

Luego continuó que esta investigación destaca la necesidad de que “los fabricantes piensen en los riesgos de seguridad física y digital a los que pueden estar sujetos los dispositivos y los mitiguen en la etapa de diseño y desarrollo”.

Si bien Amazon ha hecho mucho para minimizar la superficie de ataque potencial, estas dos opciones de diseño de hardware, las almohadillas de depuración desprotegidas y la configuración de hardware que permite que el dispositivo arranque a través de una tarjeta SD externa, exponen a los consumidores a un “riesgo innecesario”. ”

LEER SIGUIENTE: Las mejores habilidades de Alexa

Por supuesto, la mayor limitación de esta vulnerabilidad es el hecho de que un hacker necesita acceso físico al dispositivo. Por lo tanto, siempre que su dispositivo esté instalado de forma segura en los confines de su hogar y no haya dado a luz al niño de 15 años que hackeó Talk-Talk, es probable que esté físicamente fuera del alcance de los atacantes.

Sin embargo, no debe darse por sentado que los consumidores no expondrán los dispositivos a entornos no controlados que pongan en riesgo su seguridad y privacidad. La vulnerabilidad también solo se aplica a las ediciones 2015 y 2016 de Amazon Echo. El modelo 2017 no es vulnerable, ni su modelo hermano más pequeño, el Amazon Echo Dot.

Para identificar si tiene un dispositivo vulnerable en sus manos, puede consultar el paquete original para obtener un copyright de 2017 y un número de modelo de dispositivo que termine en 002.

Si tiene un modelo anterior, existen medidas que puede tomar para minimizar el riesgo, que incluyen el uso del botón de silencio físico para desactivar el micrófono para cualquier conversación privada. Los más expertos en tecnología también pueden optar por monitorear el tráfico de red del dispositivo y buscar cualquier actividad anómala como señal de advertencia. Una opción obvia sería comprar su Echo en Amazon o en un minorista de confianza, protegiéndolo así contra el malware preexistente que podría usarse para grabar sus conversaciones.

Imagen: Ben Fruenutilizado bajo Creative Commons