программное обеспечение

Для тех, кто использует Amazon Alexa, возможно, подумайте о защите своих учетных записей.

Краткое содержание редактора: если вы используете Amazon Alexa, Check Point Software сообщил, что в некоторых поддоменах Amazon Alexa есть уязвимости. Вы можете проверить свой аккаунт. Как обычно, никогда не нажимайте на вредоносные ссылки, отправленные вам, даже если они выглядят законными от, казалось бы, известного контакта (поскольку контакты могут быть взломаны). Подробнее читайте ниже.

СИНГАПУР - Check Point Research, подразделение по анализу угроз Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущий поставщик решений для кибербезопасности во всем мире, недавно обнаружил уязвимости безопасности в определенных поддоменах Amazon / Alexa, которые позволили бы хакеру удалить / установить навыки в учетной записи Alexa целевой жертвы, получить доступ к истории голоса и личным данным. . Атака требовала однократного нажатия пользователем вредоносной ссылки, созданной хакером, и голосового взаимодействия жертвы. С более чем 200 миллионами проданных по всему миру устройств Alexa может осуществлять голосовое взаимодействие, настраивать оповещения, воспроизводить музыку и управлять интеллектуальными устройствами в системе домашней автоматизации. Пользователи могут расширить возможности Alexa, установив «навыки». которые являются голосовыми приложениями. Однако личная информация, хранящаяся в учетных записях пользователей Alexa, и использование устройства в качестве контроллера домашней автоматизации делают их привлекательной целью для хакеров.

Исследователи Check Point продемонстрировали, как уязвимости, обнаруженные в определенных поддоменах Amazon / Alexa, могут быть использованы хакером, создавшим и отправив целевому пользователю вредоносную ссылку, которая, похоже, исходит от Amazon. Если пользователь щелкает ссылку, злоумышленник может:

  • Доступ к личной информации жертвы, такой как история банковских данных, имена пользователей, номера телефонов и домашний адрес
  • Извлеките историю голоса жертвы с помощью Alexa
  • Автоматическая установка навыков (приложений) в учетной записи пользователя Alexa
  • Просмотр всего списка навыков учетной записи пользователя Alexa
  • Тихо удалить установленный навык

«Умные колонки и виртуальные помощники настолько распространены, что легко упустить из виду, сколько личных данных они хранят, и их роль в управлении другими умными устройствами в наших домах. Но хакеры видят в них точки входа в жизни людей, дающие им возможность получать доступ к данным, подслушивать разговоры или совершать другие злонамеренные действия без ведома владельца », - сказал Одед Вануну, руководитель отдела исследований уязвимостей продуктов в Check Point. «Мы провели это исследование, чтобы подчеркнуть, насколько важна защита этих устройств для сохранения конфиденциальности пользователей. К счастью, Amazon быстро отреагировал на наше раскрытие информации, чтобы закрыть эти уязвимости в определенных поддоменах Amazon / Alexa. Мы надеемся, что производители подобных устройств последуют примеру Amazon и проверят свои продукты на наличие уязвимостей, которые могут поставить под угрозу конфиденциальность пользователей. Ранее мы проводили исследования в Tiktok, WhatsApp и Fortnite. Alexa уже некоторое время нас беспокоит, учитывая его повсеместное распространение и подключение к устройствам IoT. Именно эти мега-цифровые платформы могут навредить нам больше всего. Поэтому их уровень безопасности имеет решающее значение ».

Amazon исправила эту проблему вскоре после того, как о ней было сообщено.

Для получения подробной информации об уязвимостях и видео, показывающего, как они могли быть использованы, посетите https://research.checkpoint.com

###