Amazon Alexa опять взломали. Правда эту конкретную уязвимость уже ликвидировали в Amazon, но глобальная проблема остается - Алексу легко взломать.
Исследователи по безопасности компании Check Point выявили уязвимость в голосовом ассистенте компании Amazon, оперативно сообщили о проблеме разработчикам и те ее быстро ликвидировали. Но на сегодня слишком много сторонних разработчиков выпускают множество продуктов, которые используют открытое API и запускают результаты "в продакшен".
А безопасность никогда не стоит на первом месте, если вы конечно не компания, которая на этом специализируется. И ведь неизвестно, как долго уязвимости и "дыры" в безопасности позволяли злоумышленникам красть личные данные. Ведь для взлома Alexa достаточно один раз кликнуть по вредоносной ссылке.
Что получали хакеры?
Они получали следующие возможности:
- Автоматическую установку навыков (приложений) в учетной записи жертвы.
- Получение списка всех установленных навыков в учетной записи.
- Незаметное удаление навыков из учетной записи.
- Получение доступа к истории голосовых запросов жертвы.
- Получение личной информации жертвы.
И все это, в сочетании друг с другом, позволяло злоумышленникам устанавливать или удалять навыки в учетной записи (включая вредоносные), получать доступ к истории голосовых запросов и личную информацию, которая проходила в момент взаимодействия с навыками, когда пользователь его вызывал.
Причем для получения доступа ко всему этому, пользователю было необходимо всего-навсего кликнуть на одну ссылку от Amazon. О масштабах распространения уязвимости и утечке данных никто, естественно, сообщить не может, так как невозможно даже их определить. Конечно, сама компания Amazon может это сделать, но они хранят безмолвие по этому вопросу.
Зачем это все нужно хакерам?
Дело ведь не только в голосовом ассистенте, хотя история гаджетов компании Amazon, с точки зрения безопасности, действительно удручает (стоит вспомнить взлом Ring). Основная опасность состоит в другом. Дело в том, что на сегодняшний день используется более 200 миллионов устройств с Alexa и, вероятно, миллиарды подключенных к ней устройств системы умный дом. И глобальность проблемы связана в первую очередь с тем, что любой разработчик может создать свой навык для Alexa и распространить его через Amazon Skill Store, у которого уровень безопасности значительно ниже, чем у Google Play и Apple Store.
К тому же, существует более 100 тысяч навыков для Алексы, который охватывают более 9.5 тысяч брендов и устройств для умного дома. Причем многие из них либо плохо написаны, либо вообще бесполезны. И навыки - это еще один способ атаковать ваше устройство Amazon и ему не смогут противостоять антивирусы.
Именно поэтому специалисты компании Check Point призывают пользователей ограничить количество устанавливаемых навыков до списка хорошо известных и выпущенных крупными брендами. Так как следующий установленный пользователем навык милого кошачьего мурчания может опустошить ему банковский счет.
Умные колонки и голосовые ассистенты - обычное дело для сегодняшней реальности. Очень легко упустить количество личных данных, которые они хранят, и какую роль они играют в управлении вашим умным домом. Хакеры видят в них точки входа в личную жизнь пользователей, что позволяет им получать доступ к личным данным, прослушивать разговоры или выполнять другие вредоносные действия без ведома владельцев -
заявляет Одед Вануну, руководитель отдела исследования уязвимостей компании Check Point. И именно для того, чтобы подчеркнуть, насколько важна защита подобных устройств от действий злоумышленников, компания и провела это исследование.
По заявлениям компании:
Alexa уже некоторое время нас беспокоит, учитывая ее повсеместное распространение и подключение к устройствам умного дома. Именно эти глобальные платформы могут навредить нам больше всего. Поэтому их уровень безопасности имеет решающее значение.