El dispositivo Amazon Echo 5 sufre una vulnerabilidad de Javascript que permite el hackeo de la pantalla inteligente, permitiendo tomar el control total del dispositivo. La brecha ha sido descubierta por los investigadores de ciberseguridad Amat Cama y Richard Zhu, los cuales pertenecen al equipo Fluoroacetate, según ha informado la iniciativa Zero Day de la compañía de ciberseguridad Trend Micro.
En concreto, el descubrimiento se ha realizado dentro del marco del concurso anual de hackeo Pwn20wn, donde los investigadores han hallado que el dispositivo de Amazon emplea una versión antigua de Chromium, es decir, el proyecto de código abierto de Google. Debido a que el software de Google ha sufrido algún desvío en su creación, el altavoz inteligente también se ha visto afectado por ello.
En este sentido, la brecha permite tomar el control del dispositivo si se conecta a un punto de acceso Wi-Fi malicioso, según ha explicado el director de Zero Day Initiative de Trend Micro, Brian Gorenc.
Para comprobar cómo funciona el dispositivo ante la vulnerabilidad, los investigadores han puesto el Echo Show en un entorno aislado de radiofrecuencia para que no intervenga ningún tipo de interferencia exterior, posteriormente han utilizado un ‘exploit’ o fragmento de software utilizado para aprovechar una vulnerabilidad, el cual explota un error de desbordamiento de datos enteros en JavaScript en las pantallas inteligentes de Amazon.
Como resultado, el desbordamiento de datos enteros se produce cuando una operación matemática intenta dar un valor numérico determinado para el que no hay espacio suficiente en su memoria, por lo que el valor se desborda fuera de la memoria asignada, a su vez se producen los errores de seguridad que ponen en peligro al dispositivo.
Ante los resultados obtenidos, Amazon ha asegurado que tomará las medidas necesarias para proteger los altavoces inteligentes partiendo del estudio realizado por Fluoroacetate. Por su parte, el concurso Pwn20wn se ha llevado a cabo en Tokio (Japón) durante la semana pasada, lugar donde los participantes deben investigar software y smartphones para cazar las vulnerabilidades que ni siquiera sus creadores conocen.
Se trata de la primera vez que el concurso Pwn20wn aplica sus descubrimientos a un dispositivo del Internet de las Cosas. Gracias a la revelación del equipo sobre la vulnerabilidad de Amazon Echo Show 5, los investigadores han obtenido un total de 60.000 dólares (54.000 euros), quienes también han conseguido comprometer otros dispositivos, como los televisores Sony X800G, Samsung Q60, así como el dispositivo móvil Xiaomi Mi9.
