Взлом Alexa предоставил злоумышленникам доступ к сети умного дома пользователя Echo

В Amazon Alexa был обнаружен ряд уязвимостей, что подчеркивает необходимость для поставщиков платформ для умного дома, таких как Apple HomeKit, поддерживать безопасность в рамках услуги.

Идея умного дома привлекательна, но мечта о виртуальном помощнике по кругу автоматизация домашних задач становится кошмаром, когда возникают проблемы с безопасностью. В случае Amazon Alexa, которая лежит в основе настройки умного дома многих людей, были обнаружены уязвимости, которые могли позволить злоумышленнику выполнять задачи и выяснять, что пользователь сказал Alexa, проблемы, которые с тех пор были исправлены.

Отчет исследователей Check Point Security показывает, что ряд субдоменов Amazon и Alexa были уязвимы для неправильной конфигурации Cross-Origin Resource Sharing (CORS) и межсайтового скриптинга. (XSS). Используя XSS, злоумышленник сможет получить токен CSRF, который предоставит им доступ к элементам установки умного дома.

По словам исследователей, это может включать автоматическую установку навыков Alexa без ведома пользователя, получение списка всех установленных навыков, удаление установленных навыков без уведомления, получение истории голоса жертвы с помощью Alexa и даже получение личной информации.

Эта манипуляция навыком могла позволить установить модифицированную версию существующего навыка, а затем использовать ее пользователем, такую, которая могла бы позволить выполнять действия злоумышленником или для дальнейшего получения данных от пользователя. Злоумышленник даже мог установить навык для подслушивания разговоров рядом с устройством Echo.

Хотя подслушивание было бы возможным, пользователи потенциально могли предупредить о чём-то неприятном, так как при прослушивании на устройстве Echo загорелся синий индикатор.

Обычно пользователи могут отслеживать и удалять историю своего голоса на странице настроек конфиденциальности Alexa или в приложении Alexa. Пользователи также могут стереть записи, сказав «Алекса, удали то, что я только что сказал» или «Алекса, удали все, что я сказал сегодня», в то время как опция автоматического удаления может стереть данные по истечении трех или 18 месяцев.

Утверждается, что успешная эксплуатация уязвимостей была бы возможна с помощью одного щелчка жертвы по ссылке Amazon.

Check Point ответственно раскрыла уязвимости Amazon в июне 2020 года, и проблемы были исправлены.

«Устройства Интернета вещей по своей природе уязвимы и все еще не имеют надлежащей защиты, что делает их привлекательными целями для злоумышленников», — пишет Check Point.. «Киберпреступники постоянно ищут новые способы взломать устройства или использовать их для заражения других критически важных систем. Это исследование выявило слабое место в том, что является мостом к таким устройствам Интернета вещей. И мост, и устройства служат точками входа. Они должны быть в безопасности в любое время, чтобы хакеры не проникли в наши умные дома «.

«Безопасность наших устройств является главным приоритетом, и мы ценим работу независимых исследователей, таких как Check Point, которые сообщают нам о потенциальных проблемах», — сказал один Представитель Amazon. «Мы исправили эту проблему вскоре после того, как она была доведена до нашего сведения, и продолжаем совершенствовать наши системы. Нам не известно ни о каких случаях использования этой уязвимости против наших клиентов или о раскрытии какой-либо информации о клиентах».

Amazon в прошлом вызывал разногласия по вопросам безопасности и конфиденциальности своей платформы умного дома. В 2019 году было обнаружено, что сотрудники Amazon слушали аудиозаписи с устройств Echo, чтобы повысить их точность, а позже в том же году исследователи смогли добавить шпионские приложения в магазины приложений для Alexa и Google Home, которые позволили осуществлять подслушивание и фишинг. .

Хотя Apple действительно использует свою собственную платформу умного дома HomeKit, компания прилагает все усилия для обеспечения максимальной безопасности каждого элемента. Это включает в себя широкое использование шифрования, а также длинный список требований и ограничений, которые должно соблюдать каждое новое HomeKit-совместимое устройство для работы на платформе.

Обновление: 18 августа: обновлено заявлением Amazon и незначительными изменениями.

Оцените статью
futurei.ru
Добавить комментарий