lunes, octubre 28, 2019

Un Phishing con Cognitive Services usando Google Assistant & Alexa. PoC con Google Home

La semana pasada unos investigadores de Security Research Labs hicieron una demostración muy sencilla de cómo se puede utilizar una "Skill" maliciosa en Alexa o una "Action" maliciosa en Google Home para perpetrar un ataque de Phishing en el hogar, por medio de los Smart Speakers de Alexa o Google Home. La idea es muy sencilla, y nuestro compañero Lucas, en el equipo de Ideas Locas, la ha reproducido.

Figura 1: Un Phishing con Cognitive Services usando Google Assistant & Alexa.
PoC con Google Home

El ataque es muy sencillo, y se trata de crear una Skill o Action que funciona normalmente ofreciendo el servicio que se desea. Supongamos que hacemos una Skill o Action que responda a preguntas que a alguien le pueda interesar en su casa, como el tiempo, la bolsa, información sobre cualquier tema de actualidad, o un gestor de cualquier dispositivo del hogar.


Figura 2: PoC de Phishing en Google Home con Google Assistant

Puntualmente, o de forma premeditada, el atacante cambia el comportamiento de la Skill o Action, haciendo que esta simule que se ha producido un fallo y ha terminado su ejecución. Pero ese fallo y esa terminación solo es simulada. La Skill o Action sigue funcionando y solo realiza una pausa durante un tiempo usando el "hack" del "Question mark?", en el que seguirá durmiendo.

Figura 3: Se usa el hack de "Question Mark"

Al cabo del tiempo de espera, la Skill o Action manda el ataque de Phishing a la víctima, haciéndole creer que es necesario actualizar el software de Alexa o Google Home, para lo cuál necesita la contraseña de la cuenta, que le será solicitada al usuario por medio de la voz.

Figura 4: Se usa el propio Cognitive Service de Google Assistant
para obtener la contraseña usando NLP.

Una vez dicha, los Cognitive Services de Alexa o Google Home la traducirán a texto por medio del módulo NLP y la Skill o Action maliciosa se habrá hecho con la contraseña de la víctima. Sencillo e inteligente. 

Figura 5: Visión del truco en Google Assistant para Android

En el vídeo que hemos preparado para Google Home se puede ver también el texto en formato Google Assistant, para que se vea cómo está perpetrado el truco del ataque de Phishing

Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)

No hay comentarios:

Publicar un comentario