Alexa recientemente parcheada falla una bandera roja para las trabajadoras del hogar



Alexa podría servir como un punto de entrada a las redes domésticas y corporativas. Los expertos en seguridad señalan la necesidad de que los fabricantes trabajen en estrecha colaboración con los equipos de seguridad empresarial para detectar y cerrar las fallas de los dispositivos de IoT.

Un trío de vulnerabilidades encontradas recientemente en dispositivos Alexa que podrían haber llevado a ataques más amplios en redes domésticas y corporativas han sido parcheadas en una actualización de software package por Amazon.

Las vulnerabilidades, que se hicieron públicas la semana pasada por investigadores de Verify Stage, levantó banderas rojas dados los muchos millones de personas que ahora trabajan desde casa debido a la pandemia.

Hasta la fecha, se han enviado más de 200 millones de dispositivos Alexa para hogares inteligentes, según varias fuentes. Las vulnerabilidades, que podrían explotarse haciendo clic en un enlace incorrecto lleno de código malicioso, podrían haber expuesto información particular del usuario, incluidos historiales de datos bancarios, nombres de usuario, números de teléfono y direcciones de casa.

Oded Vanunu, jefe de investigación de vulnerabilidades de productos de Verify Stage, dice que los profesionales de la seguridad deberían estar preocupados por las vulnerabilidades de Alexa porque la mayoría de los usuarios domésticos no cuentan con seguridad de pink básica, como la segmentación de la pink.

«Una cuenta de Alexa puede servir como puerta de entrada a la purple doméstica y usarse como base para lanzar otros ataques», dice Vanunu. «Si bien segmentar la crimson es una buena thought, es mucho pedirle al usuario doméstico típico».

Brandon Hoffman, CISO de Netenrich, está de acuerdo en que no tiene sentido poner a los consumidores la responsabilidad de realizar una gestión más exhaustiva de la purple.

«Más bien, los fabricantes de dispositivos deben reconocer que el turno de trabajo desde casa pone un mayor enfoque en los equipos domésticos, y tienen la responsabilidad ante la base de consumidores de tomar las medidas adecuadas para cerrar las vulnerabilidades y brindar orientación de seguridad junto con opciones de seguridad más sólidas. para usuarios experimentados «, dice Hoffman.

Hank Schless, gerente senior de soluciones de seguridad de Lookout, dice que los equipos de seguridad deben comprender que las herramientas tradicionales no protegen a sus empleados de este tipo de ataque. Incluso si los profesionales de la seguridad implementan una VPN, autenticación multifactor y administración de dispositivos móviles, nada de eso evitará que un empleado acceda a un enlace de phishing convincente y ceda sus credenciales de inicio de sesión corporativas o introduzca malware en la infraestructura corporativa.

«En el caso de una aplicación para el consumidor, los desarrolladores de aplicaciones deben integrar la seguridad en su aplicación para proteger a sus clientes del malware», dice Schless. «Los desarrolladores de aplicaciones y los equipos de seguridad deben trabajar juntos para integrar medidas de seguridad en sus aplicaciones móviles que protejan al usuario».

Test Stage presentó las vulnerabilidades a Amazon en junio. La empresa se mostró receptiva a la investigación y corrigió las vulnerabilidades de inmediato, dice Vanunu. En los últimos meses, Examine Position también ha realizado investigaciones de seguridad sobre Tik Tok, WhatsAppy Fortnite.

«Alexa nos ha preocupado por un tiempo, dada su ubicuidad y conexión con los dispositivos de IoT», dice Vanunu. «Esperamos que los fabricantes de dispositivos similares sigan el ejemplo de Amazon y verifiquen sus productos en busca de vulnerabilidades que puedan comprometer la privacidad de los usuarios».

Los Vulns
Los investigadores de Check out Place descubrieron que ciertos subdominios de Amazon / Alexa eran vulnerables a las configuraciones incorrectas de Cross-Origin Source Sharing (CORS) y Cross Site Scripting (XSS). Con XSS, los investigadores también pudieron obtener el token de falsificación de solicitud entre sitios (CSRF) y realizar acciones en nombre de la víctima.

Vanunu dijo que un solo clic de una víctima desencadena las tres vulnerabilidades: Primero, la vulnerabilidad XSS en uno de los subdominios de Amazon permite el acceso a las cookies de identificación de las víctimas. En segundo lugar, una vez que se obtiene acceso, tanto la configuración incorrecta de CORS como el token CSRF pueden explotarse y, en tercer lugar, se pueden realizar acciones en nombre de las víctimas en sus cuentas de Alexa.

Un token CSRF es un valor único, secreto e impredecible que genera la aplicación del lado del servidor y se transmite al cliente de tal manera que se incluye en una solicitud HTTP posterior realizada por el cliente. Vanunu dice que estos exploits podrían permitir que un atacante elimine o instale las habilidades de Alexa (aplicaciones) en la cuenta de Alexa de la víctima objetivo, acceder al historial de voz de la persona y adquirir información personalized.

Si bien Vanunu reiteró que la prevención era principalmente la carga del fabricante, los usuarios pueden tomar ciertas medidas para proteger sus cuentas de Alexa. Para empezar, dice, los usuarios no deben instalar aplicaciones desconocidas en sus sistemas. También deberían pensarlo dos veces antes de compartir la contraseña o la información de la cuenta bancaria.

«La gente también debe eliminar sus historiales de voz y saber cuántas aplicaciones han instalado», agregó Vanunu.

Hoffman, de Netenrich, dice que mientras los piratas informáticos han estado fisgoneando en los equipos de automatización del hogar durante mucho tiempo, el valor actual de penetrar en las redes domésticas inicialmente tenía un valor limitado para los ciberdelincuentes. Sin embargo, el paradigma ha cambiado ahora que más personas trabajan desde casa.

«La consideración más peligrosa del cambio de trabajo desde casa es la strategy de que las redes domésticas vulnerables crean un puente hacia redes corporativas de gran valor», dice Hoffman. «Si bien el ejemplo reciente de vulnerabilidades basadas en Alexa es interesante en términos de resaltar la capacidad, los datos reales a los que se accede tienen un valor bajo o muy pequeño para los ciberdelincuentes, a menos que se obtengan a gran escala. Por otro lado, moverse lateralmente o escalar el acceso a máquinas en la red compartidas con un dispositivo como Alexa tiene un atractivo enorme «.

Chris Morales, jefe de análisis de seguridad de Vectra, dice que los equipos de seguridad deben comprender finalmente que los ataques de IoT son reales y están aquí para el largo plazo. Él dice que los ataques DDoS a gran escala, el uso initial de las redes de bots de IoT, son difíciles de combatir incluso para las empresas más grandes y preparadas.

«Un peligro aún mayor es cuando los dispositivos de IoT comienzan a husmear en las redes corporativas y pueden pasar a sistemas más críticos», dice. «Los dispositivos, como asistentes virtuales, impresoras, cámaras e incluso dispositivos avanzados como escáneres de resonancia magnética, pueden representar un riesgo de ciberseguridad alarmante. Si bien no se ajustan a los requisitos de un host de pink tradicional, representan objetivos y vectores fructíferos para los ciberatacantes».

Steve Zurier tiene más de 30 años de experiencia en periodismo y publicaciones, la mayoría de los cuales los últimos 24 se dedicaron a cubrir tecnología de redes y seguridad. Steve vive en Columbia, Maryland. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique