Hace poco publicamos un texto diciendo de la poca fiabilidad de la seguridad en el altavoz de Amazon Echo, en estos momentos podemos decir lo mismo con Google Home. Estos altavoces funcionan con aplicaciones que son creadas por terceras personas que aprueba Google, y que ahora pueden intentar robar las contraseñas con correos phishing.
Desde consultoras crearon unas aplicaciones para cada plataforma, los skills para Alexa y las actions para Google Home. Todas superaron el análisis de Google y Amazon pero después los desarrolladores cambiaron su apariencia. Lo hacen de dos maneras, solicitando y recolectando datos personales junto con las contraseñas, y espiando a los usuarios cuando creen que el altavoz ha dejado de funcionar.
Estas apps de espionaje funcionan así: el usuario dice un comando inteligente al altavoz, la aplicación responde, y se queda en silencio. Como sería lógico, una vez cumplido el comando la aplicación debería dejar de funcionar, pero en realidad están recogiendo las conversaciones de al rededor para pasárselas a sus desarrolladores.
En cambio, las apps para el phishing funcionan de manera distinta, ya que cuando la pides el comando te dice que hay un error, y no se permite hace la acción, al rato te dice que hay una actualización, y que para ello ingreses la contraseña.
Estos informes ya se han hecho llegar tanto a Google como a Amazon. Con este artículo, incitamos a la concienciación de los usuarios que usan estos altavoces inteligentes.