Caixas de som

Por Paulo Alves, para o TechTudo


A Alexa, assistente pessoal da Amazon, pode ter falhas que facilitam o vazamento de dados de usuários. De acordo com um estudo da Universidade da Carolina do Norte, nos Estados Unidos, as skills baixados internamente no aplicativo Alexa podem expôr informações pessoais como listas de contatos e até mesmo dados bancários, em alguns casos. Segundo a pesquisa, isso está relacionado ao processo de aprovação das skills, como são chamados os softwares feitos para a assistente virtual.

Vale ressaltar que ainda não há nenhuma evidência de que a falha tenha sido explorada por hackers. Procurada pelo TechTudo, a Amazon respondeu em nota que conduz revisões de segurança nas skills de forma contínua em busca de comportamentos maliciosos.

Equipamentos com Alexa, como as caixas da linha Echo, podem vazar dados dos usuários, dizem pesquisadores — Foto: Yuri Hildebrand/TechTudo

Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo

As skills são necessárias tanto para integrar dispositivos de casa conectada ao serviço Alexa, como luzes inteligentes e robôs aspiradores, por exemplo, quanto para acessar apps de música, jogos ou até receber informações de contas bancárias.

O problema apontado pelo estudo sugere que a Amazon não estaria verificando os desenvolvedores de apps de terceiros, o que não garantiria que uma skill faça apenas aquilo que informa publicamente na descrição fornecida ao usuário. Em outras palavras, o sistema poderia induzir o usuário a acreditar que está usando um aplicativo de seu serviço de streaming de música ou sistema de iluminação inteligente acionado via Alexa, quando, na verdade, estaria diante de uma cópia perigosa do app.

É importante ressaltar que a política da Amazon para skills já impõe a proibição a nomes duplicados ou a tentativa de imitar marcas que não sejam oficiais para proteger direitos de propriedade intelectual. Esse bloqueio, segundo as regras da empresa, acontece ainda no processo de aprovação. Um desenvolvedor precisa, por exemplo, enviar provas de que tem permissão para usar nomes de marcas, por exemplo.

Qualquer aparelho com Alexa, como as telas Echo Show, estaria exposto à falha — Foto: Yuri Hildebrand/TechTudo

Segundo os pesquisadores, no entanto, as regras não parecem impedir comportamentos maliciosos. Alguns aplicativos poderiam, por exemplo, funcionar como espiões acionados por comando de voz, o que tornaria a falha ainda mais perigosa, principalmente para quem utiliza a assistente virtual para consultar a conta bancária. Ao abrir o aplicativo, portanto, o usuário poderia, sem perceber, entregar os dados de acesso a um hacker.

O estudo também aponta um problema na possibilidade de mais de uma skill utilizar o mesmo comando de ativação. Para os pesquisadores, a característica pode representar um risco à privacidade, já que o usuário pode compartilhar informações como e-mail, dados bancários ou de login em redes sociais com um desenvolvedor, mesmo sem ter intenção, pensando estar ativando outra skill.

Nesse caso, a skill maliciosa teria que ser adicionada pelo usuário no aplicativo Alexa. Portanto, vale atentar não apenas ao nome do software em si, mas também ao desenvolvedor do mesmo antes de ativá-lo para uso.

Ação para acessar a página de uma skill; antes de ativar para uso, vale conferir o desenvolvedor – aqui, é o próprio Grupo Globo — Foto: Reprodução/Marvin Costa

Não é a primeira vez que a assistente virtual da Amazon apresenta falhas. Um estudo divulgado em 2020 pela Check Point mostrou uma vulnerabilidade na Alexa capaz de colocar em risco dados bancários por uma combinação de comandos de voz com links maliciosos. A empresa chegou a confirmar a falha e fez as correções necessárias, mas negou que o erro tenha sido explorado contra os clientes.

Confira a nota da Amazon na íntegra:

A segurança de nossos dispositivos e serviços é prioridade número um. Conduzimos as revisões de segurança como parte da certificação das skills e temos sistemas que monitoram as skills continuamente e em tempo real em busca de possíveis comportamentos maliciosos. Qualquer skill ofensiva que identificamos é bloqueada durante a certificação e rapidamente desativada. Estamos constantemente melhorando esses mecanismos para proteger os clientes. Nós agradecemos o trabalho de pesquisadores independentes que ajudam a trazer problemas potenciais para a nossa atenção.

Com informações: NC State University, The Next Web e Amazon

Google Assistente: quatro curiosidades sobre o software

Google Assistente: quatro curiosidades sobre o software

Mais do TechTudo