Hacking | Alexa | Check Point

Bezpečnostní díra v asistentce Amazon Alexa odhalovala osobní informace a historii komunikace

Odborníci z bezpečnostní firmy Check Point odhalili chybu v platformě hlasové asistentky Alexa od Amazonu. Dle jejich slov mohla díra útočníkům poskytnout přístup k osobním informacím, historii komunikace mezi uživatelem a Alexou a k účtům Amazon.

V příspěvku na firemním blogu popisují způsob, jakým mohl být prováděn útok proti uživateli, jenž začínal škodlivým odkazem směřujícím na stránku s možností injektáže kódu. Objev ukazuje důležitost důsledného zabezpečení soukromí v rámci hlasových asistentů.

Zranitelná Alexa

Experti identifikovali zranitelnost provedením testů s oficiální aplikací Alexa pro chytré telefony. Nejprve pomocí skriptu obešli mechanismus, který bránil v kontrole síťového provozu. Následně zjistili, že některé požadavky, které aplikace učinila, mají nesprávně nakonfigurovanou zásadu, což umožňovalo odeslat žádost z jakékoli subdomény Amazonu.

V ukázce využili chybu v jedné ze subdomén Amazonu k ovlivnění cookies a nesprávně nakonfigurované zásady k úpravám účtů Alexa. Vytvořili odkazy, které směrovaly nic netušící oběť na web track.amazon.com, ze kterého mohli posílat požadavky obsahující soubory cookie obětí na adresu, jež vrátila seznam aplikací nainstalovaných pod účtem obětí.

Odborníci pak pomocí tokenu odstranili ze seznamu původní aplikaci a nainstalovali místo ní škodlivou verzi, jež se aktivovala stejným příkazem jako odstraněná aplikace. Pokud pak oběť vyřkla aktivační frázi, nevědomky spustila škodlivou aplikaci.

Díra do soukromí

Experti z Check Pointu mohli následně provádět různé akce jménem obětí a převzít plnou kontrolu nad jejím uživatelským účtem. Díky tomu by pak potenciální útočník mohl provádět následující:

  • Získat seznam hlasových aplikací, který lze použít k jejich nahrazení jinou aplikací.
  • V tichosti odebrat jakoukoli nainstalovanou aplikaci z účtů oběti.
  • Získat historii komunikace uživatele s Alexou, včetně každého příkazu a Alexiny odpovědí na něj. Experti poznamenávají, že tímto způsobem mohlo dojít k odhalení osobních údajů, jako jsou uživatelská jména a telefonní čísla.
  • Vyhledávat osobní informace uložené v profilech uživatelů, například domovskou adresu.

Check Point následně oznámil svá zjištění Amazonu, který identifikoval příčiny chyby a neprodleně ji opravil „Bezpečnost našich zařízení je nejvyšší prioritou a oceňujeme práci nezávislých odborníků, jako je Check Point, kteří nám oznamují potenciální problémy.“ uvedl mluvčí Amazonu v oficiálním prohlášení. „Tento problém jsme vyřešili brzy poté, co jsme na něj byli upozorněni, a nadále posilujeme naše systémy. Nejsme si vědomi žádných případů zneužití této chyby zabezpečení vůči našim zákazníkům ani úniku jakýchkoli informací o zákaznících.“

Virtuální hlasoví asistenti se používají v inteligentních domácnostech k ovládání zařízení internetu věcí, jako jsou světla, klimatizace, vysavače, elektřina a zábavní systémy. V posledním desetiletí získávají na popularitě a postupně se prosazují do každodenního života.

Experti upozorňují, že jejich práce odhaluje slabé místo v internetu věcí, jako jsou inteligentní reproduktory. Tato zařízení slouží jako vstupní body a musí být vždy dostatečně zajištěna, aby hackerům zabránila v možnosti proniknout do systémů chytrých domácností.

Diskuze (1) Další článek: Koronavir obrátil svět mobilů vzhůru nohama. Apple hraje vlastní ligu a umírající tablety ožily

Témata článku: , , , , , , , , , , , , , , , , ,