Alexa e Google Home estão vulneráveis a ataques de phishing e interceptação

Não são só as paredes que têm ouvidos

Foto: Shutterstock
http://pcworld.com.br/alexa-e-google-home-estao-vulneraveis-a-ataques-de-phishing-e-interceptacao/
Clique para copiar

Não é novidade para ninguém que os assistentes virtuais são uma ameaça à privacidade. Funcionários da Amazon e do Google escutam diariamente conversas de pessoas comuns que possuem a Alexa ou o Google Home em suas casas – e a coisa é tão série que áudios como esses podem ser usados em possíveis julgamentos criminais.

Agora, há mais um motivo para ficar com medo: malwares desenvolvidos por terceiros estão armazenados em ambos assistentes virtuais com a autorização da Amazon e do Google. Os whitehat hackers – ou seja, hackers éticos e profissionais –, do Laboratório de Pesquisa de Segurança da Alemanha (SRLabs, na sigla em inglês), desenvolveram oito aplicativos maliciosos, quatro para a Alexa e quatro para o Google Home, que passaram no processo de verificação das duas empresas sem maiores problemas.

Dos oito malwares, sete se disfarçam como horóscopos e um parece apenas com um gerador de números aleatórios. Chamados de “smart spies” (espiões inteligentes, em português), os aplicativos espionam os usuários em busca de senhas.

“Sempre ficou claro que esses assistentes de voz têm implicações na privacidade – com Google e Amazon recebendo sua fala, e isso pode ser desencadeado por acidente. Mostramos agora que, não apenas os fabricantes, mas também os hackers podem abusar desses assistentes de voz para invadir a privacidade de alguém”, disse Fabian Bräunlein, consultor de segurança sênior do SRLabs.

Os malwares têm nomes e maneiras de funcionamento diferentes, mas são semelhantes em alguns pontos. Basta dizer algo como “Ei Alexa, peça ao horóscopo que me fale as previsões da semana para Sagitário” ou “Ok Google, pergunte ao horóscopo o que ele tem para Sagitário”. Os aplicativos de interceptação fornecem as informações solicitadas, enquanto os aplicativos de phishing apresentam uma falsa mensagem de falha. Em seguida, tanto um quanto o outro fingem que não estão mais funcionando quando, na verdade, só estão aguardando silenciosamente pela próxima fase do ataque.

Os pesquisadores do SRLabs gravaram quatro vídeos para demonstrar como agem os malwares. Nos dois primeiros, os aplicativos de interceptação dão as respostas corretas para as solicitações e depois ficam em silêncio. O que se parece com uma tarefa finalizada é, na verdade, a forma como os hackers registram conversas que estão ao alcance do microfone do assistente.

Já os aplicativos de phishing têm uma estratégia diferente. Ao responder com uma mensagem que afirma que a ação requisitada não está disponível no país do usuário, o aplicativo fica em silêncio para parecer que não está sendo executado no momento. Após cerca de um minuto, é emitida uma voz, que imita as mesmas utilizadas pela Alexa e pelo Google Home, para alegar que uma atualização está disponível e solicitar ao usuário uma senha para sua instalação.

Relacionadas

Google Home deixa de funcionar após atualização

Usuários relataram que seus aparelhos não ligavam após a atualização

Amazon Alexa no Brasil | Quais serviços e dispositivos são compatíveis?

Assistente de voz já pode ser utilizada no português do Brasil

Comandos de voz em português para Alexa no Amazon Echo

A Alexa aprendeu português. Agora é a sua vez de aprender a conversar com ela

Amazon Echo chega ao Brasil com Alexa em português

Amazon Echo, Echo Dot e Echo Show 5 custam entre R$ 349 e R$ 699

É possível se proteger dos hackers?

A segurança digital voltou aos holofotes das empresas

Este anúncio desaparecerá em:

Ir para o site