El risc de seguretat d'Amazon Alexa permet als pirates informàtics prendre les ordres de veu i robar informació privada

Una nova amenaça anomenada 'Skill Squatting' va ser descoberta per la UIUC

Amazon Echo

El món canvia i, a l’era moderna, cada dia confiem en els nostres dispositius Internet de les coses. Però aquesta confiança ens podria costar tot, podria permetre a algú robar-nos la identitat, la informació bancària, la història clínica i què no.

Amazon Alexa ha estat criticat per tenir una sèrie de defectes de seguretat, però Amazon s’ha afanyat a solucionar-los. Tanmateix, és possible que aquest nou defecte de seguretat no tingui cap solució. I aquesta podria ser l'amenaça de seguretat més perillosa fins ara.

Segons la investigació realitzada per la Universitat d’Illinois a Urbana-Champaign (UIUC), la idiosincràsia d’Amazon Alexa es pot aprofitar mitjançant comandes de veu per encaminar els usuaris a llocs web maliciosos. Els pirates informàtics s’orienten a les escletxes dels algorismes d’aprenentatge automàtic per accedir a informació privada.

Els investigadors de la Universitat d'Illinois a Urbana-Champaign han creat un mètode anomenat 'Skill squatt' i és un mètode reeixit per enganyar Amazon Alexa perquè dirigeixi els usuaris a plataformes malicioses mitjançant comandes de veu en dispositius Amazon Echo.

Molts usuaris freqüentment pronuncien malament les paraules, que sovint comporten errors d’interpretació d’Alexa, el motor de veu que alimenta Amazon Echo. Els investigadors van utilitzar 11.460 mostres de parla de les paraules en anglès parlades pels nord-americans.

Després van estudiar on Alexa va malinterpretar les ordres de veu, amb quina freqüència ho fa i per què. Van ser capaços de trobar que certes males interpretacions es produeixen regularment.

De manera que, mitjançant l’ús de “Skill squatting”, un hacker pot utilitzar aquests errors sistemàtics per encaminar els usuaris d’Amazon Echo cap a aplicacions malicioses, llocs web i arriscar la seva informació privada. El mètode es pot utilitzar per orientar-se a determinats grups demogràfics, especialment a aquells que no dominen l'anglès.

En una variant de l’atac que anomenem llançament d’habilitat de llança, demostrem a més que aquest atac es pot dirigir a grups demogràfics específics. Finalitzem amb un debat sobre les implicacions de seguretat dels errors d’interpretació de la parla, les contramesures i el treball futur.

Pot ser que el problema no sigui una solució fàcil, ja que depèn dels principis d’aprenentatge automàtic que es basen en Alexa i altres màquines d’IA. Amazon afirma que té mesures per contrarestar aquest problema, però la investigació de la Universitat d'Illinois diu el contrari.

Afirmen que això no serà una solució fàcil i que comportaria problemes greus en el futur.