Un investigador ha decubrió con un ‘script’ desarrollado por Python un error en los altavoces de Google Home, que ofrecía la posibilidad de instalar una cuenta de puerta trasera para controlar estos dispositivos en remoto y espiar las conversaciones de los usuarios.
Python es un lenguaje de programación utilizado en buena parte de las aplicaciones web, el desarrollo de ‘software’, la ciencia de datos y el ‘machine learning’. Es de descarga gratuita y se puede utilizar en todos los sistemas.
Un investigador llamado Matt Kunze ha anunciado que recientemente ha recibido una compensación económica de parte de Google por uno de sus últimos hallazgos, centrado en los altavoces inteligentes de Google Home.
Concretamente, Kunze ha recibido 107.500 dólares (unos 100.615 euros al cambio actual) por haber descubierto un error en estos dispositivos que permitía la instalación de una cuenta de puerta trasera y que los ciberdelincuentes podrían haber aprovechado para controlarlos en remoto y espiar conversaciones de sus usuarios.
El investigador, que utilizó un ‘script’ de Python para aceder al sistema de estos dispositivos, utilizó para su experimento un Google Home Mini, aunque ha reconocido que este tipo de ataques ofrecieron los mismos resultados en otros modelos de la marca.
Con ello, ha expuesto las distintas rutas por las que pueden optar los ciberdelincuentes para acceder a los altavoces desarrollados por Google.
En primer lugar, comenta la opción de obtener el ‘firmware’ del dispositivo descargándolo desde el sitio web del proveedor. A continuación, la realización de un análisis estático de la aplicación que interactúa con el dispositivo. En este caso, Google Home.
También se pueden interceptar las comunicaciones entre la aplicación y el dispositivo o entre estos y los servidores del proveedor mediante un ataque conocido como de intermediario (MitM, por sus siglas en inglés).
El investigador utilizó la aplicación de Google Home y se percató de que a través de ella se podían enviar comandos de forma remota a través de la interfaz de programación de aplicaciones (API, por sus siglas en inglés) en la nube. Entonces, usó un escaneo de Nmap para encontrar el puerto de la API HTTP local del dispositivo y configuró un proxy para capturar el tráfico HTTPS cifrado.
Una vez obtenidos estos datos, supo que el proceso de agregar un nuevo usuario al dispositivo de destino requería tanto el nombre de este como el certificado y la ID de la nube de la API local. Concretamente, para agregar un usuario malintencionado implementó esa conexión en un script de Pyhton, que reprodujo la solicitud de vinculación.
En este sentido, Kunze describe el escenario de ataque más probable en caso de que los ciberdelincuentes hubiesen aprovechado dicha puerta trasera. Primero indica que, cuando los atacantes buscan espiar a sus víctimas dentro de la proximidad de Google Home, logra acceder a sus identificadores únicos o MAC.
No obstante, tal y como adelantan en Bleeping Computer, Google Home se lanzó en 2016 y las rutinas programadas de sus altavoces inteligentes tan solo dos años después, por lo que los atacantes se habrían podido aprovechar de esta vulnerabilidad durante años.
Un nuevo orden económico que reivindica la experiencia humana como materia prima libre, para prácticas comerciales ocultas de extracción, predicción y ventas.
Una lógica económica parasitaria en la cual la producción de bienes y servicios, está subordinada a una nueva arquitectura global de modificación de comportamiento.
Una mutación deshonesta del capitalismo marcada por concentraciones de riqueza, conocimiento y poder sin precedentes en la historia humana.
El marco fundamental de una economía de control y vigilancia.
Una amenaza tan importante para la naturaleza humana en el siglo XXI como lo fue el capitalismo industrial para el mundo natural en el siglo XIX y XX.
El origen de un nuevo poder instrumental que reafirma su dominio sobre la sociedad y presenta desafíos sorprendentes para la democracia de mercado.
Un movimiento que apunta a imponer un nuevo orden colectivo basado en la certeza total.
En las últimas horas se conocieron unas duras críticas del fundador de Telegram contra WhatsApp.
A través de una publicación en su servicio de mensajería, el empresario cargó contra la plataforma de Meta y criticó sus medidas de seguridad. Según su ácido análisis, las fallas de la aplicación en esa materia no son producto de un error, sino del propio diseño del sistema.
No obstante su marcada presencia en el sector, lógicamente tiene competidores con gran posicionamiento en el mercado. El caso más reconocido es el de Telegram, que aunque aún corre detrás en términos de popularidad, ya tiene una base de usuarios considerable. En ese contexto, la batalla entre ambas por imponerse se potencia cada vez más y el impulsor de esta plataforma decidió sacar a relucir uno de los puntos más débiles de su rival: la seguridad.
Hace algunas semanas, WhatsApp reveló la corrección de una falla de seguridad que podía infectar el dispositivo móvil a través de un video o una videollamada. Para evitar esta entrada de malware al celular, la recomendación era instalar la última versión de la app, en la que este problema ya se encuentra solucionado.
De todos modos, a lo largo de los años, se han registrado algunos inconvenientes similares de la aplicación y esto es lo que señaló el líder de Telegram.
El empresario Pavel Durov elaboró un duro mensaje contra la plataforma de Meta. En primer lugar, lanzó que “los hackers podrían tener acceso total a la información de los celulares de los usuarios de WhatsApp”. Entonces, recordó la mencionada falla de seguridad por la que, solamente mediante un archivo de video o una videollamada, se podía infiltrar el virus.
En esa misma línea, cuestionó la versión oficial de que los usuarios están protegidos con la actualización de la app. “Un problema de seguridad de WhatsApp exactamente igual a este se descubrió en 2018, otro en 2019 y otro en 2020. Y sí, otro más en 2017. En 2016, WhatsApp ni siquiera tenía cifrado”, sentenció un fragmento de la dura publicación.
Con respecto al análisis de esta vulnerabilidad, Durov cuestionó que se trate de eventualidades. Según su descripción, estas fallas forman parte del diseño del sistema: “Son puertas traseras plantadas. Si una puerta trasera es descubierta y hay que quitarla, se agrega otra”.
Por otro lado, remarcó que ningún usuario está exento de las fallas de seguridad, incluso si se trata de la “persona más rica de la Tierra”. Y remató: “Es por eso que borré WhatsApp de mi dispositivo hace años. Tenerlo instalado crea una puerta para que entren en tu teléfono”.
Por último, hizo énfasis en que, al señalar estas vulnerabilidades, no busca publicidad, ya que por su popularidad, el servicio no la necesita. Y cerró: “Podés usar cualquier aplicación de mensajería que te guste, pero mantente alejado de WhatsApp”.
Somos una organización sin fines de lucro que no pertenece a ningún dogma, religión o partido político. Somos 100% independientes.
Queremos alcanzar la masa crítica necesaria para quebrar este sistema perverso de esclavitud y muerte a todos los niveles.
Sabemos que no es una tarea sencilla pero la unión hace la fuerza, la fuerza hace a la voluntad y con voluntad y fuerza se hace lo que se desea en mente y corazón y así podremos manifestar nuestra realidad. Nur para todos.
