Em uma notícia que vem para confirmar seus medos de um dispositivo com um microfone o tempo todo ligado em sua casa, pesquisadores de segurança desenvolveram uma “habilidade” para a popular assistente de voz da Amazon, a Alexa, que permite que o dispositivo escute suas conversas indefinidamente.

• Armazéns e fábricas de Amazon e Tesla estão entre as mais perigosas de se trabalhar nos EUA
• Trabalhadores de empresas de tecnologia não querem companhias no “negócio da guerra”

A vulnerabilidade, já corrigida pela Amazon, foi descoberta pela empresa de cibersegurança Checkmarx. Especialistas da companhia conseguiram criar uma “habilidade” — termo da Amazon para um aplicativo na Alexa — que conseguia secretamente gravar uma vítima falando e transcrever conversas inteiras capturadas pelo microfone.

Os pesquisadores de segurança esconderam a tarefa maliciosa em uma habilidade de calculadora aparentemente inócua, que podia ser usada para resolver contas. Sem o conhecimento de qualquer vítima que tivesse instalado a habilidade, pedir para que a Alexa usasse o app habilitaria o ataque.

Embora a Alexa seja projetada para ouvir o tempo todo, pegando comandos que o usuário possa fazer, o ciclo para que ela grave deve ser curto e suave — só para se comunicar com os servidores da Amazon para processar os comandos depois que ela ouve a palavra de ativação, que normalmente é “Alexa”. Depois que a assistente lê a informação em resposta a um determinado pedido, ela deve ou encerrar a sessão ou pedir um outro comando para o usuário, brevemente mantendo a sessão aberta.

Quando um usuário inicia uma sessão com o app de calculadora, seus códigos criam uma segunda sessão, mas não fornecem uma resposta vocal da Alexa para informar o usuário de que seu microfone ainda está ativo. Isso faz com que a Alexa continue escutando e gravando as conversas do usuário muito tempo depois de se encerrar a comunicação com o alto-falante inteligente.

Com a sessão ainda aberta, o dispositivo é instruído pela habilidade a continuar a transcrever qualquer conversa que capturar. Essa informação é coletada, gravada e se torna buscável para os fabricantes da habilidade.

O ataque, que apenas exige que uma vítima baixe e instale a habilidade em seu dispositivo Alexa, sofre de um problema bastante significativo: a luz azul no alto-falante Echo ou no Dot permanece ativa e iluminada, indicando que a assistente ainda está escutando. É possível que uma vítima não note ou pense algo sobre isso, mas poderia levantar suspeitas nos usuários.

De acordo com a Checkmarx, as vulnerabilidades que permitiram o ataque foram reportadas para a Amazon, e a empresa já trabalhou para resolver os problemas. A Alexa agora vai detectar os indicativos silenciosos usados pela habilidade maliciosa para manter o microfone ligado sem alertar o usuário e vai também desligar qualquer sessão que dure mais do que o normal e em que o microfone esteja gravando o som.

“A confiança do consumidor é importante para nós, e levamos a segurança e a privacidade a sério”, disse um porta-voz da Amazon ao Gizmodo. “Colocamos mitigações para detectar esse tipo de comportamento de habilidade e rejeitar ou suprimir essas habilidades quando as detectamos.”

Fechar as brechas que permitem que códigos de escuta entrem na loja de apps da Alexa é um bom passo para garantir que os usuários não sejam vítimas de espionagem não solicitada. Mas ainda existe muitas preocupações de segurança em relação aos microfones que sempre escutam da Amazon. A empresa já entregou de bom grado dados da Alexa para as autoridades e está recebendo mais pedidos para fazer isso o tempo todo. Ter um hacker ouvindo sua conversa pode acabar sendo a menor das suas preocupações com a Alexa na sua casa.

[Checkmarx]

Imagem do topo: Getty