Não é nenhum segredo que alto-falantes inteligentes estão ouvindo você, apesar das desculpas que as fabricantes inventaram. E embora você possa achar que apenas o Google ou o Amazon que estão ouvindo, pesquisadores de cibersegurança descobriram que a Alexa e o Google Assistente podem ser manipulados por hackers para interceptar e capturar suas senhas.

A vulnerabilidade – batizada de Smart Spies – foi descoberta pela Security Research Labs, um coletivo e think tank alemão de pesquisa em cibersegurança. Para capturar senhas, o grupo descobriu que um hacker poderia adicionar uma longa pausa ao fazer com que o aplicativo “dissesse” uma sequência de caracteres impronunciáveis: “�.”

Isso significa que um hacker poderia facilmente criar um aplicativo, abrir uma mensagem de erro (por exemplo, “essa função não está disponível no seu país”), adicionar uma pausa fazendo você pensar que não estão mais escutando, e então fazer com que você atualize suas informações dizendo a sua senha, e-mail ou outras informações que poderiam te identificar. O vídeo abaixo tem uma demonstração com a Alexa (mais abaixo, com o Google Assistente também).

Para bisbilhotar, os hackers poderiam usar o mesmo conjunto de caracteres impronunciáveis para enganar o usuário a pensar que o dispositivo parou de ouvir… E então gravar conversas, transcrevê-las e enviar para o servidor do atacante. É uma brecha que funciona com dispositivos Amazon e Google.

Apesar disso, o problema é mais grave com o Google Home. Ao contrário dos aparelhos Amazon Alexa, o Google Home não exige que hackers especifiquem as palavras gatilho para iniciar uma gravação. Isso significa, em teoria, que um hacker poderia manipular um dispositivo Google Home para criar um loop infinito. Desde que alguém diga alguma coisa num intervalo de 30 segundos, o dispositivo continuará a gravar a conversa, como mostra o vídeo abaixo.

Parte do problema mora no processo de aprovação dos aplicativos para alto-falantes inteligentes – ou os Skills, como são chamados para a Alexa, e os Actions para o Google Home. Assim como o seu smartphone, desenvolvedores podem criar os aplicativos que bem entenderem e, depois de um processo de aprovação, eles são adicionados à loja para serem baixados.

Acontece que nem o Google nem a Amazon fazem uma revisão de atualizações adicionais depois que um aplicativo é aprovado. O que significa que, uma vez que um ator malicioso tem um aplicativo inicialmente seguro aprovado, ele pode voltar e adicionar alguns códigos sem ser detectado. Foi exatamente isso que a Security Research Labs fez para criar seus aplicativos de phishing e interceptação.

Em um e-mail, a Security Research Labs disse ao Gizmodo que a vulnerabilidade foi descoberta em fevereiro desse ano. “Ficamos surpresos em saber que a invasão Smart Spies ainda funcionava, mais de três meses depois de reportar os problemas para o Google e Amazon”. Em seu blog, o grupo notou que a análise de aplicativos de voz deveria buscar explicitamente por caracteres impronunciáveis, mensagens SSML silenciosas e saídas de texto suspeitas como “senhas”.

“A confiança dos consumidores é importante para nós, e conduzimos análises de cibersegurança como parte do processo de certificação dos Skills. Rapidamente bloqueamos o Skill em questão e iniciamos processos de atenuação para prevenir e detectar esse tipo de comportamento em Skills e rejeitá-los ou retirá-los quando forem identificados”, disse um porta-voz da Amazon ao Gizmodo. “É importante também que os consumidores saibam que enviamos atualizações automáticas de segurança para os nossos dispositivos, e que nunca pediremos para que compartilhem suas senhas”.

O Google enviou uma resposta similar. “Todas as Actions no Google precisam seguir nossas políticas para desenvolvedores, e proibimos e removemos quaisquer Actions que violem essas políticas”, disse um porta-voz da companhia ao Gizmodo. “Analisamos processos para detectar o tipo de comportamento descrito nessa análise e removemos as Actions que encontramos desses pesquisadores. Estamos incluindo mecanismos adicionais para prevenir que esses problemas ocorram no futuro”.

No geral, é um bom lembrete para ficar extremamente atento a qualquer alto-falante inteligente que peça a sua senha. A Amazon e o Google nunca pedirão para que você fale essa informação em voz alta. E, no caso de determinados dispositivos Alexa, vale a pena checar se o anel azul que indica que o dispositivo está ouvindo está aceso.

Nas demonstrações da Security Research Labs, é possível ver o anel azul ativo, mesmo quando o aplicativo finge estar silencioso. Porém, a gente sabe que isso pode ser difícil de perceber enquanto estamos ocupados com outras coisas. E, na pior das hipóteses, desligue esses monstrinhos da tomada. Melhor ainda, se você puder evitar, sequer leve esses aparelhos distópicos para dentro da sua casa.