Créditos de las imagenes: Rahul Chakraborty.
Nueva vulnerabilidad de ciber seguridad en la asociación Cortana-Alexa descubierta por expertos de Israel.
Expertos de Israel en ciber seguridad han descubierto (por segunda vez) un riesgo significativo en la interfaz entre los asistentes digitales controlados por voz de Microsoft y Amazon.
La vulnerabilidad de ciber seguridad, previamente desconocida ha sido revelada por un estudiante del Technion, Yuval Ron.
“Las dos compañías han creado una integración innovadora entre sus asistentes de voz, que permite trabajar con Alexa desde Cortana de Amazon en dispositivos con Windows 10. Esto sucede incluso cuando están en modo bloqueado. Por ejemplo, los usuarios de Cortana pueden hablar con Alexa y hacer compras en línea a través de su cuenta de Amazon usando comandos de voz», dice Shulman.
“Sin embargo, descubrimos que esta interfaz también admite la capacidad de donar miles de dólares a una organización benéfica arbitraria. El peligro, por supuesto, es que los atacantes con acceso físico a la PC bloqueada podrían «donarse» a sí mismos sin el conocimiento del usuario».
Pero esa no es la única amenaza, dice Yuval Ron. «Nos encontramos con otro escenario problemático durante la etapa de inicio de sesión», dice.
“Cuando un usuario de Cortana necesita iniciar sesión en Alexa, la conexión se implementa al abrir un navegador personalizado de Internet Explorer en la pantalla bloqueada. Dicho mecanismo de inicio de sesión permite a los atacantes manipular fácilmente el navegador para navegar a sitios web maliciosos. Si el navegador almacena las credenciales en caché, los atacantes también pueden piratear las cuentas sociales del usuario, como Facebook y Twitter».
Ron y Shulman informaron estos problemas de seguridad a Microsoft el 1 de septiembre de 2018, y la compañía lo solucionó al eliminar una actualización del servidor. Eliminaron a Alexa de la pantalla bloqueada, el 24 de septiembre de 2018.
Vulnerabilidad de ciber seguridad en Cortana y Alexa.
Sin embargo, los investigadores continuaron investigando a Cortana y encontraron vulnerabilidades adicionales en sus integraciones con otras plataformas como Spotify.
«La conexión entre Cortana y otras plataformas expande la superficie de ataque del dispositivo bloqueado y, como hemos demostrado, esta superficie puede ser explotada», dice Shulman.
Como respuesta a estos informes adicionales de los investigadores, Microsoft decidió deshabilitar casi todas las habilidades de Cortana en la pantalla bloqueada. Se han vuelto a habilitar solo las habilidades que han demostrado ser seguras.
El 24 de junio de 2019, Ron y Shulman presentaron sus hallazgos en una charla llamada «Alexa y Cortana en Windowsland», en la conferencia BSidesTLV 2019 como parte de los eventos de CyberWeek en la Universidad de Tel-Aviv.
Esta no es la primera vez que los investigadores de Israel han expresado inquietudes acerca de problemas de ciber seguridad en los asistentes de voz. En 2018, estudiantes del Technion expusieron una vulnerabilidad de seguridad en Cortana. El ataque que demostraron no tenía precedentes porque los estudiantes usaron una interfaz de voz para tomar el control de una máquina bloqueada. Microsoft corrigió la vulnerabilidad basándose en la información recibida del Technion.
Este ataque a Cortana fue creado por Yuval Ron, con la asistencia del experto en seguridad Tal Be’ery. Los estudiantes fueron invitados a presentar su descubrimiento en Black Hat 2018, una de las conferencias de seguridad más grandes del mundo.
Quieres conocer mas tecnología israelí?
Si respondiste “si” Sumanos también en Twitter.
