Дыра в безопасности Alexa открывала доступ к личным данным пользователей. Amazon уже всё исправила

Специалисты по цифровой безопасности обнаружили в платформе голосового ассистента Amazon Alexa уязвимость. При её использовании хакеры могли бы получить доступ к личной информации пользователей, например, данным аккаунта Amazon, а также истории голосовых запросов пользователя, отмечают эксперты компании Check Point Research.

Исследователи выявили эту уязвимость в ходе тестов, которые они проводили с приложением Alexa для мобильных устройств. Они использовали специальный скрипт, позволяющий обойти механизм защиты исходящих из приложения данных, а затем просматривать их в виде открытого текста. Специалисты обнаружили, что несколько запросов, сделанных приложением на удалённый сервер Amazon, использовали неправильно настроенную политику конфиденциальности. В теории эта недоработка позволяет обойти защиту и отправлять запрос на передачу данных с сервера, принадлежащего злоумышленникам.

На практике злоумышленник может убедить ничего не подозревающую жертву перейти по веб-ссылке, якобы направляющей его на сайт Amazon, а на самом деле предназначенную для заражения мобильного устройства пользователя. После того, как пользователь перейдёт по ссылке, хакеры смогут просматривать список установленных приложений и навыков голосового ассистента Alexa, а также установить и активировать новые навыки цифрового помощника. Но важнее всего, что злоумышленники могли бы таким образом получить доступ к истории голосовых запросов, а также к персональным данным пользователя аккаунта Alexa.

«Умные колонки и виртуальные ассистенты, которыми управляются современные дома и умные устройства, сегодня настолько распространены, что люди даже не обращают внимание на то, как много личной информации о них эти технологии могут хранить. Однако хакеры могут использовать их в качестве входных точек в личную жизнь, получив доступ к личной информации пользователей, подслушивая их разговоры и делая ещё много чего, о чём люди даже не подозревают», — комментирует глава исследовательского отдела Check Point Research Одед Вануну (Oded Vanunu).

Он также добавил, что они обратилась в Amazon и сообщили об уязвимости платформы Alexa ещё в июне. Компания быстро отреагировала на ситуацию и устранила дыру в безопасности.

«Мы провели это исследование, чтобы показать, насколько важна безопасность этих устройств для сохранения персональных данных пользователей. К счастью, Amazon быстро ответила на наш отчёт и решила вопрос с проблемой безопасности определённых поддоменов Amazon и Alexa», — подытожил Вануну.


Источник

Похожие статьи

Добавить комментарий

Закрыть