La semana pasada unos investigadores de Security Research Labs hicieron una demostración muy sencilla de cómo se puede utilizar una "Skill" maliciosa en Alexa o una "Action" maliciosa en Google Home para perpetrar un ataque de Phishing en el hogar, por medio de los Smart Speakers de Alexa o Google Home. La idea es muy sencilla, y nuestro compañero Lucas, en el equipo de Ideas Locas, la ha reproducido.
Figura 1: Un Phishing con Cognitive Services usando Google Assistant & Alexa. PoC con Google Home |
El ataque es muy sencillo, y se trata de crear una Skill o Action que funciona normalmente ofreciendo el servicio que se desea. Supongamos que hacemos una Skill o Action que responda a preguntas que a alguien le pueda interesar en su casa, como el tiempo, la bolsa, información sobre cualquier tema de actualidad, o un gestor de cualquier dispositivo del hogar.
Figura 2: PoC de Phishing en Google Home con Google Assistant
Puntualmente, o de forma premeditada, el atacante cambia el comportamiento de la Skill o Action, haciendo que esta simule que se ha producido un fallo y ha terminado su ejecución. Pero ese fallo y esa terminación solo es simulada. La Skill o Action sigue funcionando y solo realiza una pausa durante un tiempo usando el "hack" del "Question mark?", en el que seguirá durmiendo.
Al cabo del tiempo de espera, la Skill o Action manda el ataque de Phishing a la víctima, haciéndole creer que es necesario actualizar el software de Alexa o Google Home, para lo cuál necesita la contraseña de la cuenta, que le será solicitada al usuario por medio de la voz.
Figura 4: Se usa el propio Cognitive Service de Google Assistant para obtener la contraseña usando NLP. |
Una vez dicha, los Cognitive Services de Alexa o Google Home la traducirán a texto por medio del módulo NLP y la Skill o Action maliciosa se habrá hecho con la contraseña de la víctima. Sencillo e inteligente.
En el vídeo que hemos preparado para Google Home se puede ver también el texto en formato Google Assistant, para que se vea cómo está perpetrado el truco del ataque de Phishing.
No hay comentarios:
Publicar un comentario