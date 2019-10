Taba Benedicto/Estadão Apresentação dos novos assistentes virtuais da Amazon

Por mais que os fabricantes costumem dizer o contrário, não é segredo que caixas conectadas estão ouvindo o que você diz, — a prática, bastante delicada, se torna ainda maior quando a escuta não se restringe apenas às próprias empresas, como Amazon ou Google. Pesquisadores de cibersegurança da Security Research Labs (SRLabs) descobriram que a Alexa e o Google Assistant podem ser manipulados por hackers para capturar senhas dos usuários.

No vídeo abaixo está a demonstração, feita pelo próprio SRLabs, de como o golpe pode ocorrer com a Amazon Alexa:

O SRLabs revelou que, para capturar senhas, os hackers podem adicionar uma longa pausa de som ao fazerem com que o aplicativo tente pronunciar uma sequência de vários caracteres impronunciáveis “?”.

Com isso, os hackers podem criar um aplicativo, abrir uma mensagem de erro (que diga, por exemplo, “essa função não está disponível no seu país”), adicionar uma pausa que faça aparentar que o sistema não está mais funcionando e, por fim, fazer com que você atualize suas informações, com senha, e-mail e alguns outros dados de identificação.

Abaixo, a demonstração em relação ao Google Home:

Para sondar, os hackers poderiam usar o mesmo conjunto de caracteres impronunciáveis para fazer com que o usuário pense que o dispositivo não está mais ouvindo. Essa é uma brecha que funciona tanto com dispositivos da Amazon quanto da Google, que pode causar ainda mais danos.

Ao contrário dos aparelhos Amazon Alexa, ele não exige que hackers especifiquem as palavras gatilho para começar uma gravação. Com isso, um hacker pode manipular um dispositivo Google Home para criar um loop infinito. O dispositivo continuará a gravar a conversa sempre que ele reconhecer a voz do usuário dentro de um intervalo de 30 segundos, como demonstra outro vídeo do Security Research Labs.

Para pesquisadores do SRLabs, parte do problema mora no processo de aprovação dos aplicativos para caixas conectadas. Como os desenvolvedores podem criar os aplicativos que bem entenderem e, depois de processo de aprovação, adicioná-los à loja para serem baixados, nem Amazon ou Google fazem uma revisão de atualizações adicionais depois que um aplicativo é aprovado. Dessa forma, se um hacker tem um aplicativo inicialmente seguro aprovado, ele pode voltar e adicionar alguns códigos sem ser detectado — exatamente o que a Security Research Labs fez para criar seus aplicativos de phishing e interceptação.

Quando descobriu a vulnerabilidade em fevereiro deste ano, a Security Research Labs reportou a Amazon e Google, o que, no entanto, ainda não gerou mudanças. Em meio a isso, o grupo ressalta a importância de ficar atendo a qualquer pedido de senha vindo de um alto-falante inteligente, já que Amazon e Google nunca vão pedir que alguém fale esse dado em voz alta.