ENSAYO DE INTELIGENCIA ARTIFICIAL ALEXA

IESTP-HUAMACHUCO

FRANKLIN GARCIA POLO

HUMBERTO REYES MAURICIO

JAIRO BALLENA ANTICONA

YOVER GUTIERRES REYES

INTRODUCCION

Tras el crecimiento de los dispositivos que conforman el Internet of Things, apareció la

necesidad de un método como un de acceso y control de´ estos. Así es como en 2014

nació, Amazon Alexa, un asistente virtual capaz de interactuar con dispositivos del hogar,

efectuar compras o consultar las noticias entre otras muchas más posibilidades. Este

método centralizado de acceso y control a diferentes dispositivos y a un gran volumen de

datos personales, pone en riesgo información como pueden ser el domicilio o el número

de tarjeta de crédito, además de dar acceso´ a dispositivos del hogar, desde lámparas

hasta cerraduras. Estos riesgos y la falta de conocimiento´ sobre cuál es el

funcionamiento del sistema motivan la realización de un análisis que aclaren estas

posibles inquietudes de los consumidores.

Así pues, las grandes empresas tecnológicas vieron una necesidad que saciar en la

sociedad, a lo que respondieron con productos como Amazon Alexa, el asistente virtual

de la multinacional. Se presentó conjuntamente con los´ dispositivos Amazon Echo, el

altavoz inteligente del internet ha crecido muy rápidamente en los últimos mismo

fabricante, que ya llevarían incorporado el software y con todas las tecnologías que son

relativas e de Alexa. Actualmente, estos altavoces están disponibles´ inherentes a él.

Estos avances han permitido hacer la´ hasta en 5 modelos diferentes, incluyendo

características
como pantalla, conexión Bluetooth y video cámara, lo que´ permite al usuario realizar

video llamadas o vigilar el hogar desde el teléfono móvil. Concretamente, para este

estudio, se utiliza un Amazon Echo de 2. a generación, Las o habilidades funcionan de

modo similar al que lo hacen las aplicaciones para teléfonos móviles, simplemente es

necesario activarlas desde la tienda de habilidades. Fue así como otras compañías como

Spotify o Netflix desarrollar skills que permitían el uso de sus servicios a través de los

dispositivos que utilizaran el´ asistente, como pueden ser los propios Amazon Echo o un

teléfono móvil

OBJETIVOS

Conociendo las inquietudes de los consumidores, hay que tener en cuenta que pueden

afectar negativamente a las ventas de Amazon o incluso el rechazo al producto. Así

pues, los siguientes objetivos se plantean con la intención de resolver estas dudas.

En una primera instancia, es necesario estudiar cual es la arquitectura del sistema que

hay detrás de Alexa; una vez se conoce cuál es la estructura resulta más fácil el analizar

y entender su funcionamiento.

En este punto, se diseñan dos diagramas de red local, uno en el que se analice el trafico

sin conectar el Amazon´ Echo y otro habiéndolo conectado. El análisis del tráfico se
realizará mediante un proxy instalado entre la red local y el´ asistente, de tal modo que

se podrá identificar el tráfico que genera Alexa y conocer su contenido

No hay que olvidar la estrecha relación que guarda´ Alexa con los diferentes

dispositivos del hogar, de modo que también resulta interesante saber de su

funcionamiento´ y analizar si existe una brecha de seguridad en relación con Alexa

Tras conseguir estos objetivos, los beneficios esperados son los siguientes:

Conocer el funcionamiento del sistema inherente a Amazon Alexa.

Ganar conocimiento y experiencia en penetración de vulnerabilidades.

Verificar o refutar la política de privacidad y seguridad de Amazon relativa a su

asistente virtual.

Proporcionar documentación técnica sobre el funcionamiento y las vulnerabilidades del

ecosistema Amazon Alexa, con tal de que se puedan corregir el mal funcionamiento y

las vulnerabilidades
 ARQUITECTURA Y FUNCIONAMIENTO

que cuando´ el usuario interactúa con Alexa se envía la grabación a la´ nube de Amazon,

donde el audio es transcrito y procesado. Esto es algo que tiene muchas ventajas, como

por ejemplo, que el modelo de transcripción resulta facil de mejorar y´ actualizar al

estar en los propios servidores de Amazon, sin hacer que esa tarea recaiga sobre los

mismos dispositivos Amazon Echo

En la figura, podemos ver el proceso que se sigue cuando un usuario utiliza Alexa, tanto

desde el Smartphone como desde un dispositivo Amazon Echo. El siguiente paso que se

realiza es enviar la locución Amazon Voice Service, donde se transcribe con el objetivo

de analizar´ la peticion utilizando aprendizaje computacional. Durante este análisis, se

identifica el nombre de la skill que se quiere ejecutar y los parámetros a enviar al

servicio, que se envían de forma estructurada dependiendo del servicio. De

transcriben audios que no han podido ser transcritos por la inteligencia artificial con tal

de mejorar el reconocimiento

A continuación, la skill recibe la petición y la procesa. En caso de que se trate de una

habilidad de terceros y sea necesario la conexión a un servidor del desarrollador se´

realiza la consulta mediante un servicio REST.

Finalmente, en caso de que sea necesario, desde Amazon Web Services Lambda se envía

la orden de actuar a los dispositivos del hogar y se envía un audio al dispositivo que

ejecuta Alexa para informar al usuario que la tarea ha sido completada. Los detalles de

las diferencias entre dispositivos Zigbee y dispositivos IoT comunes se explica más

adelante. Se puede observar un diagrama de flujo de´ lo arriba explicado (Figura 2). En

la mitad superior del diagrama podemos observar un ejemplo de dar una orden de

encendido o apagado a un dispositivo de hogar digital, por otro lado, en la mitad

inferior, se puede ver una petición de información como la predicción´ meteorológica o

de reproducción de multimedia bajo demanda

Vulnerabilidad CVE-2018-11567

Esta vulnerabilidad parte del hecho de que Alexa, cuando no entiende una instrucción o

al utilizar la Wake Word y no recibir una instrucción, pide al usuario que repita la orden.

Esta funcionalidad puede ser explotada a partir de una skill desarrollada para ello Para

explotar esta vulnerabilidad es necesario reproducir esta característica de reprompt, en

los 8 siguientes segundos Alexa esperara, por segunda y última vez, que el usuario

repita la instrucción. Durante este lapso de tiempo´ y teniendo instalada una skill

maliciosa, se podría conseguir una transcripción de lo ocurrido durante ese tiempo

Estas vulnerabilidades afectan a BlueZ, la pila del protocolo Bluetooth que utiliza el

kernel de Linux desde la versión 2.6.32 hasta 4.13.1, ambas inclusive, sobre el cual

están desarrollados algunos de los modelos de los´ diferentes dispositivos Echo

ATAQUES BASADOS EN SONIDO

La forma en la que se inicia la interacción con Alexa es mediante la Wake Word, se

plantea entonces la posibilidad de utilizar una Wake Word o incluso dar una orden

utilizando una voz emulada, y comprobar, si sigue siendo posible utilizar el asistente

mediante un servicio de text-to-speech.

Aunque sea posible lo planteado anteriormente, Alexa no dice nada para no revelar

información del usuario de forma verbal, aun así, sigue siendo posible ejecutar acciones

tal que comprar en Amazon.

Según Amazon, es posible utilizar Alexa a través de barreras, como por ejemplo una

puerta o desde una distancia considerable

Interacción con Alexa usando un simulador de voz

Existen muchos simuladores de voz, aunque pocos proporcionan una naturalidad del

habla suficiente como para ser comprendido por Alexa, de modo que se utiliza una

demo de Watson, una herramienta que ofrece un servicio text-to-speech de la mano de

IBM, el cual sı ofrece un audio y narrado de calidad.

A pesar de todas las pruebas realizadas, no se ha sido capaz de reproducir ningún

ataque a una brecha de seguridad. Aun así, se considera necesario que algunas de las

pruebas que no han podido ser realizadas se estudien en un futuro, por ejemplo, la

comprobación de que un dispositivo´ Amazon Echo no puede ser atacado por el

software que aprovecha las vulnerabilidades CVE-2018-11567, CVE-2017-1000251 y

CVE2017- 1000250. Otra de las pruebas que serıa necesario reproducir con el

equipamiento y conocimientos adecuados es la de la creación de un audio que resulte´

inaudible y/o ininteligible por el oído humano

Otra vía de ampliación que se considera importante es la comprobación de las mismas

pruebas en otros´ asistentes virtuales, como puede ser, por ejemplo, Google Home.

Además, estos otros asistentes virtuales, también pueden presentar otras brechas de

seguridad, debido a su funcionamiento, arquitectura o componentes.