Las fallas de Amazon Alexa podrían haber revelado la dirección de la casa y otros datos personales


Las fallas también podrían haber ayudado a los atacantes a obtener nombres de usuario, números de teléfono, historial de voz y habilidades instaladas, dice Check Position Research.

amazon-echo-product-photos-14-1.jpg

Imagen: CNET

Los dispositivos inteligentes y sus asistentes de voz se han convertido en una forma generalizada y popular de encontrar información, controlar nuestro entorno, comunicarnos con otros y aprovechar una gran cantidad de habilidades, desde negocios hasta entretenimiento. Pero a medida que compartimos ciertas solicitudes y detalles personales con nuestros dispositivos inteligentes, han surgido preocupaciones sobre la seguridad y privacidad de nuestros datos.

Un informe publicado el jueves por el proveedor de inteligencia Check Level Investigation destaca las vulnerabilidades de seguridad recientes encontradas en Amazon Alexa, que podrían haber dado a los atacantes acceso a la información confidencial de los usuarios.

VER: Amazon Alexa: una guía privilegiada (PDF gratuito) (TechRepublic)

En una publicación de web site titulada «Mantener la puerta cerrada en sus dispositivos IoT: vulnerabilidades encontradas en Alexa de Amazon, «Check out Position describe cómo descubrió una serie de vulnerabilidades en el asistente de voz de Amazon que podrían haber brindado una puerta abierta a los piratas informáticos. La frase operativa aquí es» podría haberlo hecho «. Test Place compartió responsablemente sus hallazgos con Amazon en junio de 2020, lo que provocó la empresa para parchear las vulnerabilidades y solucionar el problema.

«La seguridad de nuestros dispositivos es una prioridad absoluta y apreciamos el trabajo de investigadores independientes como Examine Level, que nos plantean problemas potenciales», dijo un portavoz de Amazon a TechRepublic. «Solucionamos este problema poco después de que se nos informara y continuamos fortaleciendo aún más nuestros sistemas. No tenemos conocimiento de ningún caso de uso de esta vulnerabilidad contra nuestros clientes o de que se haya expuesto información de clientes».

Sin embargo, si bien las fallas aún existían, Check Issue dijo que los piratas informáticos podrían haber intentado los siguientes actos maliciosos:

  • Habilidades y aplicaciones instaladas silenciosamente en la cuenta de Alexa de un usuario.
  • Obtuve una lista de todas las habilidades instaladas en la cuenta de Alexa del usuario.
  • Elimina silenciosamente una habilidad instalada.
  • Obtuve el historial de voz de la víctima con Alexa.
  • Obtuve la información personal de la víctima, incluido el nombre de usuario, la dirección de la casa y el número de teléfono.

«Los altavoces inteligentes y los asistentes virtuales son tan comunes que es fácil pasar por alto la cantidad de datos personales que tienen y su función en el control de otros dispositivos inteligentes en nuestros hogares», dijo Oded Vanunu, jefe de investigación de vulnerabilidades de productos de Look at Stage, en una prensa. lanzamiento. «Pero los piratas informáticos los ven como puntos de entrada a la vida de las personas, dándoles la oportunidad de acceder a datos, escuchar conversaciones o realizar otras acciones maliciosas sin que el propietario se dé cuenta».

En su investigación, Check Level descubrió que varios subdominios para Alexa y Amazon contenían múltiples agujeros de seguridad. Específicamente, estos subdominios eran vulnerables a Cross Website Scripting (XSS), aunque los atacantes inyectan código malicioso del lado del cliente en los sitios internet.

Además, los subdominios eran vulnerables a errores de configuración en Uso compartido de recursos entre orígenes (CORS), que brinda a una aplicación website en un dominio acceso a recursos específicos en otro dominio. Usando un exploit conocido como Cross-Web page Ask for Forgery (CSRF), los atacantes podrían haber usado XSS para obtener un token CSRF para realizar acciones en nombre de la víctima.

Con estos subdominios vulnerables, el flujo de un ataque podría haberse desarrollado de la siguiente manera:

  1. El usuario hace clic en un enlace malicioso que lo dirige a monitor.amazon.com, donde el atacante tiene capacidad de inyección de código.
  2. Luego, el atacante envía una solicitud con las cookies del usuario a skillsstore.amazon.com/app/protected/your-expertise-web site y obtiene una lista de todas las habilidades instaladas en la cuenta de Alexa y el token CSRF.
  3. El atacante usa el token CSRF para eliminar una habilidad común de la lista del usuario.
  4. El atacante instala una habilidad con la misma frase de activación que la habilidad eliminada.
  5. Una vez que el usuario intenta usar la frase de activación, se ejecuta la habilidad del atacante en lugar de la habilidad esperada.

Al manipular las habilidades de un usuario, un ataque podría haber accedido al historial de voz de la persona con Alexa, es decir, tanto los comandos de voz iniciales como las respuestas de Alexa a ellos. Amazon no registra las credenciales de la cuenta bancaria, pero la interacción de la víctima con la habilidad bancaria podría haberse utilizado para obtener el historial de datos bancarios, según Examine Place. Al abusar de otros tipos de habilidades, el atacante también podría encontrar nombres de usuario, números de teléfono e incluso direcciones de casa, según el informe.

Aunque Amazon cuestionó un par de afirmaciones específicas planteadas en la investigación, Look at Level defiende sus hallazgos.

«De hecho, period posible que un pirata informático tuviera acceso al historial de transacciones bancarias de un usuario de Alexa», dijo el jefe de relaciones públicas de Check Point, Ekram Ahmed. «Simplemente, si una persona usó Alexa para realizar compras o transacciones, un atacante podría ver esas compras o transacciones haciendo que el usuario haga clic en un enlace creado, a menos que el usuario haya eliminado su historial de voz. Para corroborar este punto , aquí está Declaración propia de Amazon sobre lo que registra «.

Además, las fallas que descubrió Examine Stage podrían haber permitido a un atacante cargar una habilidad en Alexa, afirmó Ahmed. Aunque tal habilidad podría no haber sido necesariamente de naturaleza «maliciosa», la habilidad aún podría haber resultado problemática. Por ejemplo, un atacante podría haber subido una habilidad que iniciaría una grabación, abriría una cámara o encendería el micrófono.

«Realizamos esta investigación para resaltar cómo la protección de estos dispositivos es basic para mantener la privacidad de los usuarios», dijo Vanunu. «Afortunadamente, Amazon respondió rápidamente a nuestra divulgación para cerrar estas vulnerabilidades en ciertos subdominios de Amazon / Alexa. Alexa nos ha preocupado por un tiempo, dada su ubicuidad y conexión con los dispositivos de IoT. Son estas mega plataformas digitales las que pueden dañarnos más . Por lo tanto, sus niveles de seguridad son de very important importancia «.

Para los usuarios de dispositivos inteligentes y aplicaciones de asistente de voz, Ahmed ofrece los siguientes tres consejos de seguridad:

  • Evite las aplicaciones desconocidas. No instale aplicaciones desconocidas en su altavoz inteligente.
  • Piense dos veces antes de compartir. Tenga cuidado con la información confidencial que comparte con su altavoz inteligente (por ejemplo, contraseñas, cuentas bancarias).
  • Leer sobre la aplicación. Tenga en cuenta que hoy en día cualquiera puede crear aplicaciones de asistente inteligente, así que lea sobre la aplicación antes de instalarla y verifique qué permisos requiere. Solo recuerde que cualquiera puede publicar una habilidad y que las habilidades tienen capacidades para realizar acciones y obtener información.

Ver también



Enlace a la noticia first