Aplicações de horóscopo transformaram colunas inteligentes do Google e Amazon em espias

O ataque foi organizado por uma empresa de cibersegurança alemã que queria alertar as tecnológicas para os riscos de segurança das colunas inteligentes. As aplicações foram entretanto removidas.

Amazon.com
Foto
Neste caso os atacantes tinham boas intenções: a equipa de cibersegurança Security Research Labs queria alertar as tecnológicas para a necessidade de melhorarem o processo de triagem de serviços para as colunas Shannon Stapleton

A segurança das colunas inteligentes Amazon Echo e Google Home foi comprometida depois de ambas as empresas terem autorizado o uso de várias aplicações modificadas para espiar e roubar as palavras-passe dos utilizadores nas suas lojas online. As apps vinham disfarçadas de serviços de horóscopo e sorteios inócuos que, depois de serem aprovadas, eram modificadas para conseguir roubar informações pessoais.

Os atacantes tinham boas intenções: a equipa de cibersegurança Security Research Labs (SLR), com sede em Berlim, queria alertar as tecnológicas para a necessidade de melhorarem o processo de triagem de serviços para as colunas. Embora ainda não sejam um produto de massas, em 2019 há cada vez mais empresas que comercializam colunas inteligentes para ouvir música e notícias, fazer pesquisas online e usar assistentes digitais. Entre Maio e Junho, por exemplo, o Google vendeu 4,3 milhões de colunas inteligentes e a Amazon enviou para o retalho 6,6 milhões de colunas Echo, segundo dados da analista Canalys.

“Com o aumento das funcionalidades destas colunas inteligentes, a superfície de possibilidades para ataques também aumenta”, nota a equipa da SLR num relatório publicado sobre os ataques. “Para evitar estes ataques de ‘espiões inteligentes’, a Amazon e o Google têm de melhorar o processo de triagem e revisão das aplicações de terceiros disponibilizadas nas suas lojas.”

O grande problema das colunas é que depois de uma aplicação ser aprovada, mudar a sua função não obrigava a uma segunda revisão. Com isto, a SRL criou aplicações que usavam a palavra “inicio” e “pára” para várias funções diferentes – desde ler o horóscopo diário do dono da coluna, a roubar a palavra-passe da conta na Amazon ou Google.

Para convencer o utilizador a revelar a palavra-passe, a empresa alemã programou as aplicações para simular as vozes oficiais das assistentes do Google e da Amazon a pedir o código para actualizar a aplicação. Trata-se de uma estratégia de engenharia social simples, conhecida por phishing, em que os atacantes usam formulários falsos para convencer alguém a fornecer dados pessoais.

“Podíamos ir mais longe e pedir ao utilizador o seu email para, potencialmente, conseguir aceder a contas da Amazon ou do Google”, nota a equipa em comunicado.

A empresa alemã SLR também mostrou que era possível utilizar as colunas para espiar as conversas dos utilizadores. Para fechar as aplicações de horóscopo falsas, os utilizadores tinham de dizer “pára” depois de ouvirem as previsões para o seu futuro. A palavra-chave levava o astrólogo digital a dizer “Adeus”, mas aplicação continuava activa durante mais alguns segundos. E se o utilizador dissesse qualquer coisa neste período de tempo com o som “ai” (uma interjeição programada pela equipa alemã para acordar a aplicação), a informação era transcrita e enviada para a equipa da SRL.

Tanto o Google como a Amazon já removeram as aplicações da SRL e, em comunicados enviados à imprensa, dizem estar a estudar os mecanismos de revisão das aplicações para prevenir os problemas de se repetirem no futuro. “[As mudanças] incluem impedir novas funcionalidades [na Echo] de pedir a palavra-passe da Amazon aos nossos clientes”, explica um porta-voz da Amazon em resposta a questões do PÚBLICO. “Também é importante que os clientes saibam que oferecemos actualizações automáticas para os nossos serviços, e nunca lhes vamos pedir para partilharem a palavra-passe.”

O PÚBLICO também contactou a equipa do Google, mas não obteve detalhes adicionais.

Não é a primeira vez que as colunas inteligentes destas empresas são alvo de críticas em 2019. Em Abril, a Amazon admitiu ter trabalhadores em várias partes do mundo a ouvir excertos do que as colunas inteligentes Echo captam nas casas dos seus clientes. Desde então, o Facebook, a Microsoft, a Apple, e o Google também já o admitiram fazer. Trata-se de uma prática comum para controlo de qualidade, justificam. No caso do Google, a funcionalidade nunca esteve activa por defeito (era uma opção disponível nas definições de conta de cada utilizador), mas a empresa não clarificava que o processo de revisão era feito por pessoas e não por algoritmos.

Nos últimos anos, a coluna Echo também foi responsável por alguns casos insólitos: em Maio de 2018, por exemplo, a coluna gravou uma discussão privada entre um casal em Portland, nos EUA, e enviou-a a um contacto do casal por engano. Na altura, a Amazon disse que o lapso tinha sido causado por uma série de confusões da assistente digital na coluna que acordou, por engano, com uma palavra na conversa de fundo [entre o casal] que soava a ‘Alexa’ que é a palavra-chave para activar a assistente.

“As colunas da Amazon e do Google são dispositivos poderosos e frequentemente úteis, mas as implicações para a privacidade de ter um microfone ligado à internet são maiores do que se pensava previamente”, esclarece a equipa da SLR. “Os utilizadores têm de estar conscientes do potencial de aplicações criadas com más intenções que abusam das colunas inteligentes. Instalar uma nova aplicação numa coluna deve, por isso, ser abordado com o mesmo cuidado que instalar uma nova aplicação no telemóvel.”

Actualizado 22/10/2019 com resposta da Amazon e do Google