Threats

Descobertas vulnerabilidades em subdomínios Alexa da Amazon

Investigadores demonstraram como é que hackers poderiam remover ou adicionar funcionalidades nas contas Alexa das vítimas, para além de aceder ao histórico de voz e a informações pessoais

18/08/2020

Descobertas vulnerabilidades em subdomínios Alexa da Amazon

A Check Point Research identificou vulnerabilidades de segurança em certos subdomínios da Alexa, da Amazon que permitiriam aos hackers remover e adicionar funcionalidades nas contas Alexa das vítimas, aceder ao seu histórico de voz e a outras informações pessoais. O ataque requeria um único clique do utilizador num link malicioso criado pelo hacker, acompanhado por uma interação aleatória por voz da vítima. 

Com mais de 200 milhões de dispositivos vendidos a nível global, a Alexa é capaz de interagir por voz, definir alarmes, reproduzir música e controlar dispositivos inteligentes de um sistema doméstico de automação. Além disso, os utilizadores podem ainda adicionar ‘skills', apps dirigidas por voz. A informação pessoal que as contas de utilizadores da Alexa armazenam, bem como a possibilidade de utilizar o aparelho como controlo de automação doméstica, transforma as mesmas em alvos apetecíveis para hackers.

Os investigadores da Check Point demonstraram como as vulnerabilidades encontradas em certos subdomínios da Amazon/Alexa poderiam ser utilizados por hackers que desenvolvessem e enviassem links maliciosos, aparentemente provindos da Amazon.

Ao clicar no link, o hacker passava a ter acesso à informação pessoal da vítima, como histórico de dados bancários, nomes de utilizadores, números de telemóvel e morada, extrair o histórico de voz com a Alexa, instalar silenciosamente ‘skills’, aceder à lista de ‘skills’ e remover as ‘skills’ já instaladas.

Smart speakers e assistentes virtuais já estão tão generalizados que é fácil esquecermo-nos da quantidade de informação pessoal que eles guardam, e o seu papel em controlar outros dispositivos inteligentes das nossas casas. Mas os hackers vêm estes aparelhos como portas de entrada para a vida das pessoas, já que permitem aceder a dados, espiar conversas ou outras atividades maliciosas sem o utilizador ter conhecimento”, afirma Oded Vanunu, Head of Products Vulnerabilities Research na Check Point. “Conduzimos esta investigação para reforçar o quão importante é garantir a segurança destes dispositivos para manter a privacidade dos seus utilizadores. Felizmente, a Amazon respondeu rapidamente à nossa divulgação, no sentido de eliminar estas vulnerabilidades em certos subdomínios da Amazon/Alexa. Esperemos que os fabricantes de dispositivos semelhantes sigam o exemplo da Amazon e verifiquem as vulnerabilidades dos seus produtos que possam eventualmente comprometer a privacidade dos seus utilizadores. Já realizámos pesquisas no TikTok, WhatsApp e no Fortnite. A Alexa já nos preocupa há algum tempo, devido à sua ubiquidade e conexão a dispositivos IoT. São estas mega plataformas que podem causar os maiores danos. Os seus níveis de segurança são importantíssimos”, conclui Vanunu.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.