В голосовом помощнике Alexa от Amazon нашли уязвимость, которая позволяет получить доступ к персональным данным ее владельца. Под угрозой оказались миллионы пользователей по всему миру.
руппа исследователей из компании Check Point обнаружила уязвимость колонок Alexa. С ее помощью злоумышленники могут получить доступ к личной информации пользователя, включая его голосовые запросы, а также ко всем данным аккаунта на Amazon.
Уязвимость нашли в приложении Alexa companion. Используя известный универсальный скрипт для обхода механизма, исследователи смогли посмотреть на трафик приложения. Там они нашли несколько ошибок в веб-службах Alexa — используя их, можно получить доступ к данным.
Чтобы воспользоваться этой уязвимостью, злоумышленнику достаточно отправить ссылку пользователю, которая ведет на track.amazon.com, использовать файл cookie для замены права собственности на приложение и установить вредоносный код. Так злоумышленник может получить полный полный доступ к помощнику и аккаунту на Amazon.
Исследователи предупреждают, что голосовые помощники взломать проще, чем обычные устройства. Для того, чтобы хакеры не получили доступ к истории поиска, ее важно удалять. В колонках Alexa пользователю достаточно сказать: «Алекса, удали все, что я сказал сегодня». То же самое можно сделать в приложении Alexa companion, зайдя в настройки конфиденциальности.
«Умные колонки и виртуальные помощники кажутся настолько непримечательными, что, порой, мы упускаем из виду их роль в управлении умным домом, а также то, сколько личных данных они хранят. По этой причине, хакеры рассматривают подобные приложения, как точки входа в жизнь людей, благодаря которым они могут получить доступ к личным данным, подслушивать разговоры и совершать другие вредоносные действия без ведома пользователя», — отметили в Check Point.
#Amazon, #Alexa