sábado, 19 de mayo de 2018

Google Assistant podrá reservarte mesa en un restaurante al que llame previamente, pero ¿Cómo se almacenará esa llamada?

El mismo día en que publiqué el post de "Muerte a Google", salió la noticia tras el Google I/O, de que el asistente de voz de Google podrá realizar llamadas para reservarte mesa en un restaurante, sitio en la peluquería y demás temas por el estilo. Pero claro, ese mismo día en mi blog salió la entrada en la que mostraba cómo el mismo asistente de Google, almacenaba en "My Activity" los Whatsapps que enviabas desde el asistente de voz, por lo que si te robaban la contraseña de la cuenta y no tenías 2FA o usas un 2FA vía SMS para que cualquiera te robe los SMS con el código de autentificación, podría ver los Whatsapps que enviabas, saltándose el cifrado extremo a extremo de Whatsapp-que además ahora, casualmente, pasa por malos momentos-. Así que me puse a divagar por mis pensamientos y solamente se me ocurrieron preguntas, pocas respuestas, así que dejo este post para que se debata.



Ha salido un vídeo donde se hace una PoC, y aunque tiene pinta de que aún le queda mucho por hacer, ya que tendrán las pruebas para casos concretos, si recuerdas cómo trata Google a la privacidad, no se dejan de pasar preguntas por la cabeza.




En el post de "Muerte a Google" ya mostré que los mensajes de Whatsapp enviados desde el asistente de voz de Google, ya se almacenaba en My Activity, por lo que sería lógico pensar, que estas llamadas también se alamacenarán en el mismo sitio, haciendo que si cualquier atacante tuviese acceso a una cuenta de Google, podrá saber a qué hora tal persona se va a cenar, a la peluquería, al cine,etc.

Si a esto le unes, que cualquiera puede decir dónde vives y ponerlo en Google Maps para que todo el mundo lo sepa y que Google traza la ruta exacta que realizas, aunque estés sin conexión a internet durante el trayecto, se podrían dar casos como que, en caso de pedir algo a domicilio, Google Assitant, decida-para ponérselo fácil a los demás ¿negocios?- publicar tu ubicación en Google Maps para así no tener que darla siempre y ahorrar tiempo.



También sería lógico, pensar que esa llamada se va a quedar almacenada en tu cuenta de Google, más concretamente en My Activity, por lo que sería peligroso que un atacante sepa cuándo vas a salir, y si vas a salir muy lejos de casa.

Se le tendrían que dar muchas vueltas a esto para no comprometer la privacidad de la gente, que aunque es cierto que dependa de la gente el utilizar un 2FA, ya hemos visto que hasta con un 2FA vía SMS, es posible acceder a los códigos para acceder a la cuenta. Si tenemos en cuenta que muchos usuarios descargan cualquier apk de cualquier sitio, el problema se incrementa aún más, ya que pueden ser víctimas de un meterpreter, por lo que sería asumr muchos riesgos el almacenar esas llamadas también en My Activity.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...