Testes mostram como Google Assistente e Alexa são usados para roubar senhas

Smart speakers como o Echo Dot da Amazon e a linha Home do Google estão se multiplicando nos lares de todo o mundo, graças à evolução dos assistente digitais Alexa e Google Assistente, que a cada ano ganham mais recursos e idiomas. Isso, contudo, traz um grande problema já enfrentado em outras plataformas: hackers podem usar apps que mimetizam os próprios ajudantes virtuais para obter informações, como senhas e dados sensíveis.

Isso é o que os pesquisadores da firma de segurança alemã Security Research Labs (SRLabs) descobriram ao fazer uma experiência com quatro habilidades da Alexa no Echo Dot e quatro ações do Google Assistente no Google Home. Todos os oito utilitários falsos passaram pelos processos de verificação de segurança, tanto da Amazon quanto do Google.

Os “espiões” replicam a interface das companhias para conseguir as senhas ou seguir gravando o que você diz, sem que perceba. O primeiro teste envolve algum pedido comum, como “Ok Google, leia meu horóscopo”. Os apps de interceptação responderam uma falsa mensagem de erro e então permaneceram em silêncio, dando a impressão de terem encerrado a execução, quando na verdade estavam aguardando a próxima fase do ataque.

No exemplo abaixo, você pode ver que a voz é muito parecida com a do Google Assistente. Ao passar sua senha, a usuária está dando de bandeja o acesso à sua Conta Google — e, bem, tudo o que está em seu ecossistema, seja no Gmail, no Google Drive, Google Fotos e etc. Veja:

O experimento com a Alexa mostra outra possibilidade. Depois de exibir as informações de horóscopo, o app falso parece ter encerrado sua tarefa. Só que, na verdade, continuou gravando o que foi dito na sequência:

Isso tudo pode ser encaminhado em tempo real para os servidores dos invasores, que, em posse de senhas e dados sensíveis, têm capacidade para fazer muito estrago por aí. "Mostramos agora que, não apenas os fabricantes, como também os hackers podem abusar desses assistentes de voz para invadir a privacidade de alguém”, comenta Fabian Bräunlein, consultor de segurança sênior da SRLabs.

Amazon e Google respondem

A SRLabs usou brechas nos próprios sistemas das empresas, como o fato deles permanecerem em silêncio, em certas circunstâncias, enquanto ainda estavam sendo executados. A firma alemã já removeu todos os apps falsos usados no experimento e comunicou os problemas de segurança para a Amazon e o Google, que fizeram atualizações para fechar essas brechas.

A Amazon respondeu o seguinte:

A confiança do cliente é importante para nós, e realizamos análises de segurança como parte do processo de certificação de habilidades. Rapidamente bloqueamos a habilidade em questão e implementamos mitigações para prevenir e detectar esse tipo de comportamento e rejeitá-las ou eliminá-las quando identificadas. Isso inclui impedir que as habilidades solicitem aos clientes suas senhas da Amazon. Também é importante que os clientes saibam que fornecemos atualizações de segurança automáticas para nossos dispositivos e nunca pedimos que compartilhem suas credenciais.

E o Google disse:

Todas as ações no Google devem seguir nossas políticas de desenvolvedor e proibimos e removemos qualquer ação que viole essas políticas. Temos processos de revisão para detectar o tipo de comportamento descrito neste relatório e removemos as ações que descobrimos desses pesquisadores. Estamos implementando mecanismos adicionais para impedir que esses problemas ocorram no futuro.

Embora a resposta de ambas as gigantes tenha sido rápida e agora elas estejam mais cuidadosas com apps de terceiro trazendo habilidades, fica aí o alerta para um setor que vem crescendo e que pode trazer questões de segurança e privacidade tão importantes quantos as outras plataformas amplamente utilizadas.

Fonte: Ars Technica