Już ponad 200 milionów głośników z wirtualnym asystentem Alexa wspiera użytkowników na całym świecie na podstawie poleceń głosowych. Inteligentny asystent jest w stanie m.in. tworzyć notatki, zamawiać pizzę lub sterować inteligentnym domem. Co więcej, użytkownicy rozszerzają możliwości Aleksy, instalując dodatkowe funkcje opracowane przez zewnętrznych dostawców. Biorąc pod uwagę popularność i wszechobecność rozwiązania, analitycy Check Point postanowili zbadać czy urządzenie wykorzystujące sztuczną inteligencję może być „punktem wejścia” dla hakerów do gospodarstw domowych użytkowników - czytamy w materiale agencji "Bellini Capital"
Po gruntownej analizie, eksperci z ośrodka Check Point Research potwierdzili, że usługa posiada szereg luk w zabezpieczeniach, które przy ich wykorzystaniu pozwoliłyby hakerom uzyskać dostęp do danych osobowych ofiar, ich historii operacji bankowych, numerów telefonu czy adresów. Co więcej cyberprzestępcy byliby w stanie przeinstalować dodatkowe umiejętności, bez wiedzy użytkownika (manipulując np. usługą typu smart dom), jak również przejąć całą historię poleceń głosowych dokonywanych przez ofiarę!
– mówi Oded Vanunu, szef działu badań nad podatnościami produktów w firmie Check Point.
Najsłabsze ogniwo Aleksy
Z technicznego punktu widzenia badacze z Check Point wykazali, że niektóre subdomeny Amazon / Alexa były podatne na błędną konfigurację tzw. Cross-Origin Resource Sharing (CORS) i Cross Site Scripting (CSS). Korzystając z XSS, badacze byli w stanie uzyskać token CSRF i wykonać działania w imieniu ofiary.
W praktyce atak mógłby polegać na przesłaniu użytkownikowi Aleksy odnośnika, który przekierowywał go na odpowiednią stronę, gdzie napastnik mógł instalować złośliwy kod. Tym samym haker uzyskiwał dostęp do wszystkich aplikacji na koncie Aleksy, włącznie z tokenem użytkownika. Haker mógł odinstalować jedną z aplikacji, a następnie zainstalować inną z tą samą frazą wywoływania co usunięte rozszerzenie. Gdy tylko użytkownik spróbowałby użyć frazy wywołania, uruchomiłby aplikację, która dawałaby hakerowi możliwość wykonywania określonych działań na Aleksie.
W efekcie podatności umożliwiały hakerowi dostęp do historii komend głosowych oraz uzyskanie danych prywatnych udostępnionych wirtualnemu asystentowi. Udany atak wymagałaby tylko jednego kliknięcia w link, który został specjalnie spreparowany przez osobę atakującą.
Przedstawiciele Check Point ujawnili wyniki swoich badań firmie Amazon w czerwcu 2020 r. Twórcy Aleksy dokonali niezbędnych napraw, rozwiązując ujawnione problemy bezpieczeństwa. komentuje sprawę rzecznik prasowy Amazona
- dodaje Oded Vananu z Check Pointa.
