В Alexa нашли новую уязвимость

15.08.2020

В голосовом помощнике Alexa от Amazon нашли уязвимость, которая позволяет получить доступ к персональным данным ее владельца. Под угрозой оказались миллионы пользователей по всему миру.

руппа исследователей из компании Check Point обнаружила уязвимость колонок Alexa. С ее помощью злоумышленники могут получить доступ к личной информации пользователя, включая его голосовые запросы, а также ко всем данным аккаунта на Amazon.

Уязвимость нашли в приложении Alexa companion. Используя известный универсальный скрипт для обхода механизма, исследователи смогли посмотреть на трафик приложения. Там они нашли несколько ошибок в веб-службах Alexa — используя их, можно получить доступ к данным.

Чтобы воспользоваться этой уязвимостью, злоумышленнику достаточно отправить ссылку пользователю, которая ведет на track.amazon.com, использовать файл cookie для замены права собственности на приложение и установить вредоносный код. Так злоумышленник может получить полный полный доступ к помощнику и аккаунту на Amazon.

Исследователи предупреждают, что голосовые помощники взломать проще, чем обычные устройства. Для того, чтобы хакеры не получили доступ к истории поиска, ее важно удалять. В колонках Alexa пользователю достаточно сказать: «Алекса, удали все, что я сказал сегодня». То же самое можно сделать в приложении Alexa companion, зайдя в настройки конфиденциальности.

«Умные колонки и виртуальные помощники кажутся настолько непримечательными, что, порой, мы упускаем из виду их роль в управлении умным домом, а также то, сколько личных данных они хранят. По этой причине, хакеры рассматривают подобные приложения, как точки входа в жизнь людей, благодаря которым они могут получить доступ к личным данным, подслушивать разговоры и совершать другие вредоносные действия без ведома пользователя», — отметили в Check Point.

#Amazon, #Alexa

Источник: hightech.fm