Em junho deste ano, pesquisadores da Check Point descoberto uma série de vulnerabilidades perigosas que abriram para ataques a assistente virtual Amazon Alexa e seus usuários.
O problema estava nos bugs CORS e XSS, que afetou vários subdomínios da Amazon, e em problemas de configuração.
Explorando esses bugs, os invasores podem obter acesso a dados pessoais (nomes de usuário, números de telefone, endereços residenciais, histórico de voz) e realizar diversas ações em nome das vítimas (por exemplo, exclua e instale habilidades Alexa).
“Bastou apenas um clique em um link, especialmente criado por um invasor, explorar com sucesso [os problemas]”, - escrevem os pesquisadores.
Para um ataque bem sucedido, o invasor precisava apenas criar um link malicioso que direcionasse o usuário para amazon.com e o enviasse para a vítima (forçando de alguma forma o usuário a clicar nele).
Os pesquisadores sugeriram usar o vulnerável track.amazon.com para esses fins – esta página não está associada ao Alexa, mas é usado para rastrear encomendas da Amazon, e anteriormente poderia ter sido injetado com código malicioso.
Próximo, o invasor enviou uma solicitação Ajax com os cookies do usuário recebidos para amazon.com/app/secure/your-skills-page, o que lhe permitiu obter uma lista das habilidades instaladas para esta conta Alexa.
A resposta a tal solicitação também continha um token CSRF, que um invasor poderia usar para remover uma habilidade da lista. O invasor poderia então instalar sua própria habilidade maliciosa Alexa no dispositivo da mesma maneira. Substituir uma habilidade remota pela sua própria abriu muitas oportunidades para o criminoso, dependendo das habilidades instaladas no dispositivo do usuário.
Por exemplo, foi possível acessar o histórico de voz da vítima, e depois nomes de usuário, números de telefone, endereços residenciais, dados bancários (Alexa não registra credenciais de login bancário, mas registra outras interações).
“Alto-falantes inteligentes e assistentes virtuais parecem tão comuns que, às vezes, perdemos de vista o seu papel na gestão de uma casa inteligente, bem como a quantidade de dados pessoais que eles armazenam. Por esta razão, os hackers veem esses aplicativos como pontos de entrada na vida das pessoas, através do qual eles podem acessar dados pessoais, escutar conversas e realizar outras atividades maliciosas sem o conhecimento do usuário”, - diz Oded Vanunu, chefe do departamento de pesquisa de vulnerabilidades da Check Point Software Technologies.
Atualmente, Os engenheiros da Amazon já corrigiram todas as vulnerabilidades descobertas. Adicionalmente, representantes da empresa afirmaram não ter conhecimento de qualquer uso desses problemas ou divulgação de qualquer informação sobre os clientes.
Já falamos muitas vezes sobre vulnerabilidades em dispositivos IoT, por exemplo, que Kr00k problem threatens devices with Qualcomm and MediaTek Wi-Fi chips. A Internet das Coisas está se tornando parte da vida cotidiana e está cheia de novos perigos.