Mantener la puerta cerrada en sus dispositivos de IoT: vulnerabilidades encontradas en Alexa de Amazon

-

 Un asistente virtual inteligente (IVA) o asistente personal inteligente (IPA) es un agente de software que puede realizar tareas o servicios para una persona en función de comandos o preguntas. Amazon Alexa, comúnmente conocida como "Alexa" es un asistente virtual basado en inteligencia artificial desarrollado por Amazon, capaz de interacción de voz, reproducción de música, configuración de alarmas y otras tareas, incluido el control de dispositivos inteligentes como parte de un sistema de automatización del hogar. Los usuarios pueden ampliar las capacidades de Alexa mediante la instalación de "habilidades", una funcionalidad adicional desarrollada por proveedores externos que pueden considerarse aplicaciones, como programas meteorológicos y funciones de audio.

Dado que los asistentes virtuales hoy en día sirven como puntos de entrada a los electrodomésticos y controladores de dispositivos de las personas, asegurar estos puntos se ha vuelto fundamental, siendo la máxima prioridad mantener la privacidad del usuario. Este fue nuestro "punto de entrada" y motivación central al realizar esta investigación.

Nuestros hallazgos muestran que ciertos subdominios de Amazon / Alexa eran vulnerables a la mala configuración de Cross-Origin Resource Sharing (CORS) y Cross Site Scripting. Con XSS pudimos obtener el token CSRF y realizar acciones en nombre de la víctima.

Estas vulnerabilidades habrían permitido a un atacante:

  • Instalar habilidades (aplicaciones) de forma silenciosa en la cuenta de Alexa de un usuario
  • Obtenga una lista de todas las habilidades instaladas en la cuenta de Alexa del usuario
  • Eliminar silenciosamente una habilidad instalada
  • Obtenga el historial de voz de la víctima con su Alexa
  • Obtener la información personal de la víctima

Editado por Aniceto Pérez y Madrid, Especialista en Ética de la Inteligencia Artificial y Editor de Actualidad Deep Learning (@forodeeplearn).

Los artículos publicados son incluidos por su estimada relevancia y no expresan necesariamente los puntos de vista del Editor este Blog.

Comentarios

Publicar un comentario

Popular

Herramientas de Evaluación de Sistemas Algorítmicos

-
Este artículo clarifica varias definiciones Auditoría Algorítmica Auditoría de sesgos (bias) Inspección regulatoria Evaluación de impacto algorítmico Evaluación de riesgo algorítmico Evaluación de impacto algorítmico https://www.adalovelaceinstitute.org/examining-the-black-box-tools-for-assessing-algorithmic-systems/ Adaptado por Aniceto Pérez y Madrid, Filósofo de las Tecnologías y Editor de Actualidad Deep Learning (@forodeeplearn)
Leer más

Sistemas multiagentes: Desafíos técnicos y éticos del funcionamiento en un grupo mixto

-
https://www.amacad.org/publication/multi-agent-systems-technical-ethical-challenges-functioning-mixed-group En el mundo informático actual, altamente interconectado y de red abierta, los agentes informáticos de la inteligencia artificial interactúan cada vez más en grupo entre sí y con las personas, tanto virtualmente como en el mundo físico. Los principales retos actuales de la IA consisten en determinar formas de construir sistemas de IA que funcionen de forma eficaz y segura para las personas y las sociedades en las que viven. Para incorporar el razonamiento sobre las personas, la investigación en sistemas multiagente ha generado cambios paradigmáticos en el diseño, los modelos y los métodos de los agentes informáticos, así como el desarrollo de nuevas representaciones de la información sobre los agentes y sus entornos. Estos cambios han planteado retos tanto técnicos como éticos y sociales. En este ensayo se describen los avances técnicos en las representaciones, la toma de decisio
Leer más

Controversias éticas en torno a la privacidad, la confidencialidad y el anonimato en investigación social

-
  El propósito de este artículo es mostrar algunas de las particularidades, alcances y limitaciones de la privacidad, la confidencialidad y el anonimato en el ámbito de la ética de la investigación en ciencias sociales. El presente artículo está organizado en tres apartados. En primer lugar, se definirán y distinguirán los conceptos de privacidad y confidencialidad y se mostrarán sus características singulares en investigación social. En segundo lugar, se analizarán algunos debates y críticas actuales en torno al anonimato. Finalmente, se examinarán los alcances y limitaciones al resguardo de la información y los desafíos que implican nuevos entornos de investigación social. http://scielo.isciii.es/scielo.php?script=sci_arttext&pid=S1886-58872016000200002 Editado por Aniceto Pérez y Madrid, Especialista en Ética de la Inteligencia Artificial y Editor de Actualidad Deep Learning (@forodeeplearn). Los artículos publicados son incluidos por su estimada relevancia y no expresan necesar
Leer más