Para aquellos que usan Amazon Alexa, quizás consideren proteger sus cuentas

20160817_chkp_graphic

Resumen del editor: si está utilizando Amazon Alexa, Check Point Software ha informado de que existen vulnerabilidades en ciertos subdominios de Amazon Alexa. Es posible que desee verificar su cuenta. Como de costumbre, nunca haga clic en los enlaces maliciosos que se le envían, incluso si parece legítimo de un contacto aparentemente conocido (ya que los contactos podrían ser pirateados). El comunicado de prensa del proveedor se encuentra a continuación.


Volviendo mala a Alexa: Check Point Research encuentra vulnerabilidades en ciertos subdominios de Amazon Alexa

Los investigadores demuestran cómo los piratas informáticos pueden eliminar / instalar habilidades en la cuenta de Alexa de una víctima, acceder a historiales de voz e información personal

SINGAPUR, @mcgallen #microwireinfo, 14 de agosto de 2020 - Check Point Research, el brazo de inteligencia de amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de seguridad cibernética a nivel mundial, identificó recientemente vulnerabilidades de seguridad en ciertos subdominios de Amazon / Alexa que habrían permitido a un pirata informático eliminar / instalar habilidades en la cuenta de Alexa de la víctima objetivo, acceder a su historial de voz y datos personales . El ataque requirió un solo clic del usuario en un enlace malicioso creado por el pirata informático e interacción de voz por parte de la víctima. Con más de 200 millones vendidos en todo el mundo, Alexa es capaz de interactuar por voz, configurar alertas, reproducir música y controlar dispositivos inteligentes en un sistema de automatización del hogar. Los usuarios pueden ampliar las capacidades de Alexa instalando 'habilidades'. que son aplicaciones controladas por voz. Sin embargo, la información personal almacenada en las cuentas de Alexa de los usuarios y el uso del dispositivo como controlador de automatización del hogar los convierte en un objetivo atractivo para los piratas informáticos.

Los investigadores de Check Point demostraron cómo las vulnerabilidades que encontraron en ciertos subdominios de Amazon / Alexa podrían ser explotadas por un pirata informático que creara y enviara un enlace malicioso a un usuario objetivo, que parece provenir de Amazon. Si el usuario hace clic en el enlace, el atacante puede entonces:

  • Acceda a la información personal de la víctima, como el historial de datos bancarios, nombres de usuario, números de teléfono y dirección particular
  • Extraiga el historial de voz de una víctima con su Alexa
  • Instalar habilidades (aplicaciones) de forma silenciosa en la cuenta de Alexa de un usuario
  • Ver la lista completa de habilidades de la cuenta de un usuario de Alexa
  • Eliminar silenciosamente una habilidad instalada

“Los altavoces inteligentes y los asistentes virtuales son tan comunes que es fácil pasar por alto cuántos datos personales tienen y su función en el control de otros dispositivos inteligentes en nuestros hogares. Pero los piratas informáticos los ven como puntos de entrada a la vida de las personas, dándoles la oportunidad de acceder a datos, escuchar conversaciones o realizar otras acciones maliciosas sin que el propietario se dé cuenta ”, dijo Oded Vanunu, director de investigación de vulnerabilidades de productos en Check Point. “Realizamos esta investigación para destacar cómo proteger estos dispositivos es fundamental para mantener la privacidad de los usuarios. Afortunadamente, Amazon respondió rápidamente a nuestra divulgación para cerrar estas vulnerabilidades en ciertos subdominios de Amazon / Alexa. Esperamos que los fabricantes de dispositivos similares sigan el ejemplo de Amazon y verifiquen sus productos en busca de vulnerabilidades que puedan comprometer la privacidad de los usuarios. Anteriormente, realizamos investigaciones sobre Tiktok, WhatsApp y Fortnite. Alexa nos ha preocupado desde hace un tiempo, dada su ubicuidad y conexión con dispositivos IoT. Son estas mega plataformas digitales las que más nos pueden dañar. Por lo tanto, sus niveles de seguridad son de vital importancia ".

Amazon solucionó este problema poco después de que se informó.

Para obtener detalles de las vulnerabilidades y un video que muestra cómo podrían haber sido explotadas, visite https://research.checkpoint.com

Acerca de Check Point Research
Check Point Research proporciona inteligencia sobre amenazas cibernéticas líder a los clientes de Check Point Software y a la comunidad de inteligencia en general. El equipo de investigación recopila y analiza datos globales de ciberataques almacenados en ThreatCloud para mantener a raya a los piratas informáticos, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas del orden y varios CERT.

Siga Check Point Research a través de:

Acerca de Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) es un proveedor líder de soluciones de seguridad cibernética para gobiernos y empresas corporativas a nivel mundial. Las soluciones de Check Point protegen a los clientes de los ciberataques de quinta generación con una tasa de captura de malware, ransomware y amenazas avanzadas dirigidas líder en la industria. Check Point ofrece una arquitectura de seguridad multinivel, "Infinity Total Protection con prevención de amenazas avanzada Gen V", esta arquitectura de producto combinada defiende la nube, la red y los dispositivos móviles de una empresa. Check Point proporciona el sistema de gestión de seguridad de un punto de control más completo e intuitivo. Check Point protege a más de 5 organizaciones de todos los tamaños.

###