Desventajas de alexa en este mundo IoT.

Alexa es ese dispositivo que salio en 2014 que muchos consideran un producto sin finalizar, pero bien sabemos que se ha convertido en el producto favorito de consumo para personas de perfil ejecutivo hasta cierto punto, tu y yo con perfil curioso y de desarrollo que amamos descubrir y crear cosas nuevas.

Este pequeño aparato que rapidamente se puede mimetizar en tu escritorio y se vuelve parte de tu dìa a dìa por que todos amamos la interaccion con dispositivos por voz, esa sensacion que produce al sentirnos de verdad en el futuro.

Bien sabemos que aun falta mucho por desarrollar y hay un ejercito de gente trabajando intensivamente por curiosidad, por generar dinero o simplemente por puro deseo de aprender mas y ser el primero en lograr algo.

En este punto todos los que estamos en este medio hemos escuchado sobre los escandalos que rodean a alexa: robo de información, espionaje, filtración de datos, etc. Solo por mencionar algunos así que preparense para dar una vuelta sobre estas vulnerabilidades tan sonadas y las áreas de oportunidad en las que debemos trabajar como grandes invesrtigadores y desarrolladores que somos.

Alexa te espia

Hace unos meses se dio a conocer el caso de un hombre que solicito a Amazon que le enviara las grabaciones que había realizado su dispositivo y la compañía le envió 1700 grabaciones de otra persona. En las grabaciones se podía escuchar a dos personas interactuando con varios dispositivos en su casa y obviamente estas grabaciones revelaban mucha información personal de estas personas e incluso se dice que la persona de estas grabaciones pudo ser identificada gracias a esta información.

La compañía aseguro que se trataba de un error humano y que era un caso aislado pero bien sabemos que no es la primera vez que ocurre algo similar y probablemente no sera la ultima.

Actualmente tenemos claro que alexa solo recolecta información a partir del momento que escucha la palabra gatillo: “Alexa”, “Amazon”, “Echo” pero que pasa con aquellas skills que se desarrollaron y pasaron las pruebas de confianza que a pesar de que sean detenidas por voz siguen recolectando información.

Recientemente el equipo de Research Labs publico su investigación donde desarrollaron 4 aplicaciones capaces de obtener información y audios sin que nos demos cuenta.

El objetivo de esta skill era darte tu horóscopo y hacia todo el procedimiento:

1. User: Alexa abre mi horoscopo diario
2. Alexa: empieza a decirte tu horoscopo
3. Usuario: Alexa detente
4. Alexa: Adios

Y hasta aquí todo bien el detalle es que el proceso nunca se detuvo y siguio escuchando. Aquí les dejo el video:

Como desarrolladores de skills o simples curiosos como un servidor, sabemos bien el objetivo de nuestro software y tenemos claro que deseamos desarrollar un producto que sea confiable. pero siempre debemos tener claro que existe un riesgo constate de toparnos con una skill que no sea como uno desea.

Vulnerabilidades en casa

Bien por un lado hemos visto las vulnerabilidades que nos toparemos en el día a día, pero que pasa con nuestra casa, ese lugar que hemos decidido llenar de dispositivos alexa y luces y enchufes inteligentes

esto me recuerda un poco a la pelicula ya se imaginaran mas o menos de que va.

Bueno como buenos tecnopatas que somos hemos decidido dotar nuestra casa con varios dispositivos en diversos cuartos los cuales nos permitirán tener un control más eficiente de recursos, nos darán comodidad y hasta cierta tranquilidad cuando salimos de casa y dejamos la cafetera encendida.

Pero seamos claros uno tiene su Wi-Fi, conecta sus dispositivos y listo tenemos casa automatizada, pero que pasa cuando damos la clave del Wi-Fi al vecino, cuando en nuestro computador cae un malware o simplemente nos convertimos en una persona de interés para el vecino adolescente que no tiene nada que hacer y quiere meterse a nuestra red, nos topamos con una vulnerabilidad, no en la nube si no en casa y todos nuestros dispositivos pueden ser vulnerados.

En octubre de 2016 se llevo acabo uno de los ataques DDoS mas grandes visto hasta el momento y se cree que un 10% de los dispositivos involucrados en este ataque fueron DVRs, cámaras ip y algún otro dispositivo IoT infectado por el troyano Mirai, ahora imaginen el impacto que podría generar en un ataque a gran escala miles de casa automatizadas con enchufes, focos, lavadoras, asistentes de voz, etc.

Recordemos esa maravillosa frase: “El dispositivo más seguro es aquel que no esta conectado a una red”.

Puntos de mejora

Si has llegado a esto punto has de pensar, “Este dude tiene delirio de persecución con alexa” pero que escriba tantos puntos negativos significa que lo tenga… bueno si lo tengo pero no por eso señale tantas cosas malas 😅. Pero creo que si es bueno ser consciente de los problemas que con los que un usuario podría toparse.

Al momento de escribir esto hay algo que me mata de curiosidad y es como se ve una conversación entre alexa y los servidores, tal vez alguien ya lo haya hecho (esa sera mi proxima tarea) pero van cifradas las comunicaciones seria el colmo que fuera de esa manera

Así que algunas recomendaciones para fortalecer primero la seguridad en nuestra casa seria lo siguiente:

1. Mejorar la contraseña de nuestro Wifi
2. Crear una red exclusiva para nuestros dispositivos IoT (Existen variedades de router que permitirán esta acción).
3. Crear filtrado por MAC address, esto es sencillo ya que obteniendo las direcciones mac de cada dispositivo se agregan a nuestro router y solamente permitiremos el acceso a nuestro wifi a ellos.
4. Mantener nuestros dispositivos actualizados.