Bug de segurança da Alexa permitiu acesso ao histórico de voz

Uma falha nos dispositivos domésticos inteligentes Alexa da Amazon pode ter permitido que hackers acessassem informações pessoais e histórico de conversas, dizem pesquisadores de segurança cibernética.

Os invasores podem instalar ou remover aplicativos em um dispositivo sem que o proprietário saiba, relata a Check Point Research.

O hack “exigia apenas um clique em um link da Amazon” criado propositalmente pelo invasor, afirma.

A empresa contou à Amazon sobre a falha, que agora foi corrigida.

A Amazon disse: “A segurança de nossos dispositivos é uma das principais prioridades e agradecemos o trabalho de pesquisadores independentes como a Check Point, que trazem possíveis problemas para nós.

Ela disse não saber de nenhum caso em que um malfeitor tenha usado a vulnerabilidade para atingir seus clientes.

Em janeiro, a Amazon disse que havia “centenas de milhões” de dispositivos Alexa no mundo.

Habilidades maliciosas
A Check Point disse que o hack exigia a criação de um link malicioso da Amazon, que seria enviado a um usuário desavisado.

Depois de clicar no link, o invasor pode obter uma lista de todas as “habilidades” instaladas do Alexa – ou aplicativos – e roubar um token que permite adicionar ou remover habilidades.

Uma maneira de usar a falha seria remover uma habilidade e, em seguida, instalar uma habilidade maliciosa que usa a mesma “frase de invocação” – a série de palavras faladas usada para acioná-la. Isso poderia ter sido feito sem o conhecimento do usuário.

Na próxima vez que o usuário tentar ativar essa habilidade, ele executará o aplicativo do invasor.

A Check Point disse que isso pode criar grandes problemas, apontando para as habilidades bancárias que permitem ao usuário verificar o saldo da conta.

“Isso pode levar à exposição de informações pessoais, como histórico de dados bancários”, argumentaram – embora não salve os detalhes de login bancário.

A Amazon se opôs a essa sugestão, no entanto, dizendo que as informações bancárias – como saldos – foram editadas no registro das respostas de Alexa, portanto, não poderiam ter sido acessadas.

O ataque também permitiria o acesso a informações pessoais no perfil da Amazon, como um endereço residencial, disse a Check Point.

A Amazon também disse acreditar que o uso de uma habilidade maliciosa secreta era menos provável do que os pesquisadores da Check Point sugeriram.

Caption da mídia, o chefe do Alexa Dave Limp da Amazon sobre questões de privacidade
Ele disse que existiam sistemas para evitar que habilidades maliciosas chegassem à Alexa Skills Store – e que as revisões de segurança faziam parte do processo.

Aplicativos que se comportam mal também são rotineiramente desativados.

“O processo de triagem provavelmente teria detectado a maioria dos atores ruins – eles são muito bons nisso e sabem que sua reputação está em jogo”, disse o especialista em segurança cibernética da Universidade de Surrey, Prof Alan Woodward.

“O problema desse hack era que era devido a uma vulnerabilidade bem conhecida … então é surpreendente vê-lo na propriedade da Amazon.”

Ele disse que o acesso a registros de voz era uma grande preocupação, mas não tinha certeza se outros hackers poderiam saber sobre as vulnerabilidades em subdomínios específicos usados ​​para lançar o ataque.

“Embora se os pesquisadores de segurança descobrissem, tenho certeza de que pessoas menos escrupulosas poderiam ter feito o mesmo.”

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here