Cada aplicación web cuenta con medidas de seguridad diferentes para garantizar la protección de los datos y control de acceso de los usuarios. No obstante, los expertos mencionan que la mayoría de los usuarios no cuentan con conocimientos sobre seguridad de aplicaciones web y sus usos en la práctica.
A pesar de que existen algunos estándares de seguridad para el uso de aplicaciones en diversos campos, como los servicios financieros, salud y comercio, otras industrias no cuentan con tales medidas de prevención. Además, a pesar de que existan estos estándares, nadie ha pensado en su posible expansión a nuevas tecnologías, como los asistentes de voz (Alexa, Siri, Cortana, entre otros), lo que convierte a esta tecnología en un potencial vector de ataque.
Especialistas en seguridad de aplicaciones web afirman que actualmente es realmente fácil comprometer la seguridad de múltiples aplicaciones usando sólo la voz. Usando técnicas de inyección SQL de comandos de voz, es posible obtener acceso a algunas aplicaciones o irrumpir en un sistema para extraer información confidencial.
Tal Melamed, especialista en seguridad de aplicaciones web y hacker ético de la firma de seguridad Protego, ha revelado un método para ejecutar una inyección SQL usando un comando de voz y obtener acceso a los datos confidenciales del sistema objetivo, en este caso el asistente de voz Alexa.
El experto logró abusar del asistente de voz para acceder a aplicaciones poco seguras, ingresando de forma verbal números de cuenta y mensajes de texto simple. Para las pruebas, el experto empleó una aplicación y una base de datos de su propia creación, no obstante, es posible comprometer prácticamente cualquier aplicación que emplee números de cuenta o texto como medio de autenticación.
De forma un poco simplificada, a continuación se muestran los pasos realizados por el experto para completar el ataque:
- El experto trató de acceder a una cuenta de administrador para la que no contaba con autorización con el nombre y la identificación de la cuenta
- En principio Alexa negó la solicitud del experto
- El experto trató de esquivar la negativa de Alexa llamando a un número aleatorio con sintaxis que desencadenaría la inyección SQL
- Cuando el sistema solicitó una identificación de cuenta, el experto sólo dijo un número aleatorio y agregó otro comando, lo que le otorgó acceso a cualquier línea en la base de datos
- Al final, Alexa proporcionó al experto la información del saldo de la cuenta de administrador no autorizada
Acorde a los especialistas en seguridad de aplicaciones web del Instituto Internacional de Seguridad Cibernética (IICS) esta no es una vulnerabilidad en Alexa, sino que se trata de una falla en las aplicaciones que trabajan con el asistente de voz. Aunque siempre será recomendable que los asistentes de voz se mantengan a la vanguardia en cuanto a seguridad, es realmente necesario que las aplicaciones que interactúan con estos desarrollos cuenten con mejores medidas de seguridad contra la inyección SQL verbal.