O bezpieczeństwie wirtualnego asystenta Amazona – Aleksy, spekuluje się od czasu premiery. Tymczasem badacze z firmy Check Point potwierdzili poważne podatności pozwalające przejąć hakerom pełną kontrolę nad kontem użytkowników.
Już ponad 200 milionów głośników z wirtualnym asystentem Alexa wspiera użytkowników na całym świecie na podstawie poleceń głosowych. Inteligentny asystent jest w stanie m.in. tworzyć notatki, zamawiać pizzę lub sterować inteligentnym domem. Co więcej, użytkownicy rozszerzają możliwości Aleksy, instalując dodatkowe funkcje opracowane przez zewnętrznych dostawców. Biorąc pod uwagę popularność i wszechobecność rozwiązania, analitycy Check Point postanowili zbadać czy urządzenie wykorzystujące sztuczną inteligencję może być „punktem wejścia” dla hakerów do gospodarstw domowych użytkowników.
Po gruntownej analizie potwierdzono, że usługa posiada szereg luk w zabezpieczeniach, które przy ich wykorzystaniu pozwoliłyby hakerom uzyskać dostęp do danych osobowych ofiar, ich historii operacji bankowych, numerów telefonu czy adresów. Cyberprzestępcy byliby w stanie przeinstalować dodatkowe umiejętności, bez wiedzy użytkownika (manipulując np. usługą typu smart dom), jak również przejąć całą historię poleceń głosowych dokonywanych przez ofiarę!
Inteligentne głośniki i wirtualni asystenci są tak powszechni, że łatwo jest nie dostrzec, ile danych osobowych przechowują czy jaką pełnią rolę w kontrolowaniu innych inteligentnych urządzeń w naszych domach. Jednak hakerzy postrzegają je często jako punkty wejścia do poufnych danych swoich ofiar, podsłuchiwania rozmów lub wykonywania innych złośliwych działań bez wiedzy właściciela.
Mówi Oded Vanunu, szef działu badań nad podatnościami produktów w firmie Check Point.
Najsłabsze ogniwo Amazon Alexa
Z technicznego punktu widzenia niektóre subdomeny Amazon / Alexa były podatne na błędną konfigurację tzw. Cross-Origin Resource Sharing (CORS) i Cross Site Scripting (CSS). Korzystając z XSS, badacze byli w stanie uzyskać token CSRF i wykonać działania w imieniu ofiary.
W praktyce atak mógłby polegać na przesłaniu użytkownikowi Aleksy odnośnika, który przekierowywał go na odpowiednią stronę, gdzie napastnik mógł instalować złośliwy kod. Tym samym haker uzyskiwał dostęp do wszystkich aplikacji na koncie Aleksy, włącznie z tokenem użytkownika. Haker mógł odinstalować jedną z aplikacji, a następnie zainstalować inną z tą samą frazą wywoływania co usunięte rozszerzenie. Gdy tylko użytkownik spróbowałby użyć frazy wywołania, uruchomiłby aplikację, która dawałaby hakerowi możliwość wykonywania określonych działań na Aleksie.
W efekcie podatności umożliwiały hakerowi dostęp do historii komend głosowych oraz uzyskanie danych prywatnych udostępnionych wirtualnemu asystentowi. Udany atak wymagałaby tylko jednego kliknięcia w link, który został specjalnie spreparowany przez osobę atakującą.
Przedstawiciele Check Point ujawnili wyniki swoich badań firmie Amazon w czerwcu 2020 r. Twórcy Aleksy dokonali niezbędnych napraw, rozwiązując ujawnione problemy bezpieczeństwa.
Bezpieczeństwo naszych urządzeń jest najwyższym priorytetem i doceniamy pracę niezależnych badaczy, takich jak Check Point, którzy zgłaszają nam potencjalne problemy. Naprawiliśmy ten problem wkrótce po tym, jak zwrócono nam na niego uwagę i nadal wzmacniamy nasze systemy. Nie są nam znane żadne przypadki wykorzystania tej luki przeciwko naszym klientom ani ujawnienia jakichkolwiek informacji o klientach.
Komentuje sprawę rzecznik prasowy Amazona
