Bagi mereka yang menggunakan Amazon Alexa, mungkin pertimbangkan untuk mengamankan akun Anda

20160817_chkp_graphic

Penjelasan singkat editor: Jika Anda menggunakan Amazon Alexa, Check Point Software telah memberi tahu bahwa ada kerentanan di subdomain Amazon Alexa tertentu. Anda mungkin ingin memeriksa akun Anda. Seperti biasa, jangan pernah mengklik tautan berbahaya yang dikirimkan kepada Anda, meskipun itu terlihat sah dari kontak yang tampaknya diketahui (karena kontak dapat diretas). Rilis berita vendor ada di bawah.


Mengubah Alexa menjadi buruk: Check Point Research menemukan kerentanan di subdomain Amazon Alexa tertentu

Peneliti mendemonstrasikan bagaimana peretas dapat menghapus / memasang keterampilan pada akun Alexa korban, mengakses riwayat suara, dan informasi pribadi

SINGAPURA, @mcgallen #microwireinfo, 14 Agustus 2020 - Check Point Research, lengan dari Threat Intelligence Periksa Point® Software Technologies Ltd. (NASDAQ: CHKP), penyedia terkemuka solusi keamanan dunia maya secara global, baru-baru ini mengidentifikasi kerentanan keamanan di subdomain Amazon / Alexa tertentu yang memungkinkan peretas untuk menghapus / memasang keterampilan pada akun Alexa korban yang ditargetkan, mengakses riwayat suara dan data pribadi mereka . Serangan itu membutuhkan satu klik oleh pengguna pada tautan berbahaya yang dibuat oleh peretas dan interaksi suara oleh korban. Dengan lebih dari 200 juta penjualan secara global, Alexa mampu melakukan interaksi suara, mengatur peringatan, pemutaran musik, dan mengendalikan perangkat pintar dalam sistem otomasi rumah. Pengguna dapat memperluas kemampuan Alexa dengan menginstal 'skill'. yang merupakan aplikasi berbasis suara. Namun, informasi pribadi yang disimpan di akun Alexa pengguna dan penggunaan perangkat sebagai pengontrol otomasi rumah menjadikannya target yang menarik bagi peretas.

Peneliti Check Point mendemonstrasikan bagaimana kerentanan yang mereka temukan di subdomain Amazon / Alexa tertentu dapat dieksploitasi oleh peretas yang membuat dan mengirim tautan berbahaya ke pengguna target, yang tampaknya berasal dari Amazon. Jika pengguna mengklik link tersebut, penyerang dapat:

  • Akses informasi pribadi korban, seperti riwayat data perbankan, nama pengguna, nomor telepon, dan alamat rumah
  • Ekstrak riwayat suara korban dengan Alexa mereka
  • Menginstal keterampilan (aplikasi) secara diam-diam di akun Alexa pengguna
  • Lihat seluruh daftar keahlian akun pengguna Alexa
  • Hapus skill yang diinstal secara diam-diam

“Speaker pintar dan asisten virtual sangat umum sehingga mudah untuk mengabaikan seberapa banyak data pribadi yang mereka miliki, dan peran mereka dalam mengontrol perangkat pintar lain di rumah kita. Tapi peretas melihatnya sebagai pintu masuk ke dalam kehidupan masyarakat, memberi mereka kesempatan untuk mengakses data, menguping percakapan, atau melakukan tindakan jahat lainnya tanpa disadari oleh pemiliknya, ”kata Oded Vanunu, Kepala Riset Kerentanan Produk di Check Point. “Kami melakukan penelitian ini untuk menyoroti bagaimana pengamanan perangkat ini penting untuk menjaga privasi pengguna. Untungnya, Amazon menanggapi dengan cepat pengungkapan kami untuk menutup kerentanan ini pada subdomain Amazon / Alexa tertentu. Kami berharap produsen perangkat serupa akan mengikuti contoh Amazon dan memeriksa produk mereka untuk menemukan kerentanan yang dapat membahayakan privasi pengguna. Sebelumnya, kami melakukan penelitian tentang Tiktok, WhatsApp, dan Fortnite. Alexa telah membuat kami khawatir untuk sementara waktu sekarang, mengingat keberadaannya di mana-mana dan koneksinya ke perangkat IoT. Platform mega digital inilah yang paling merugikan kita. Oleh karena itu, tingkat keamanan mereka sangat penting. "

Amazon memperbaiki masalah ini segera setelah dilaporkan.

Untuk detail tentang kerentanan dan video yang menunjukkan bagaimana mereka dapat dieksploitasi, kunjungi https://research.checkpoint.com

Tentang Check Point Research
Check Point Research menyediakan intelijen ancaman cyber terkemuka untuk pelanggan Check Point Software dan komunitas intelijen yang lebih besar. Tim peneliti mengumpulkan dan menganalisis data serangan dunia maya global yang disimpan di ThreatCloud untuk mencegah peretas, sambil memastikan semua produk Check Point diperbarui dengan perlindungan terbaru. Tim peneliti terdiri dari lebih dari 100 analis dan peneliti yang bekerja sama dengan vendor keamanan lain, penegak hukum, dan berbagai CERT.

Ikuti Check Point Research melalui:

Tentang Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) adalah penyedia terkemuka solusi keamanan dunia maya untuk pemerintah dan perusahaan korporat di seluruh dunia. Solusi Check Point melindungi pelanggan dari serangan dunia maya generasi ke-5 dengan tingkat penangkapan malware, ransomware, dan ancaman tertarget tingkat lanjut yang terdepan di industri. Check Point menawarkan arsitektur keamanan bertingkat, "Perlindungan Total Tanpa Batas dengan pencegahan ancaman lanjutan Gen V", arsitektur produk gabungan ini melindungi cloud, jaringan, dan perangkat seluler perusahaan. Check Point menyediakan sistem manajemen keamanan kontrol satu titik yang paling komprehensif dan intuitif. Check Point melindungi lebih dari 100,000 organisasi dari semua ukuran.

# # #