опубликовано

Краткое содержание редактора: если вы используете Amazon Alexa, Check Point Software сообщил, что в некоторых поддоменах Amazon Alexa есть уязвимости. Вы можете проверить свою учетную запись. Как обычно, никогда не нажимайте на отправленные вам вредоносные ссылки, даже если они выглядят законными от кажущегося известного контакта (поскольку контакты могут быть взломаны). Пресс-релиз производителя находится ниже.


Как превратить Alexa в плохую: Check Point Research обнаруживает уязвимости в некоторых поддоменах Amazon Alexa

Исследователи демонстрируют, как хакеры могут удалить / установить навыки в учетной записи Alexa жертвы, получить доступ к голосовым историям и личной информации.

СИНГАПУР, @mcgallen #microwireинфо, 14 августа 2020 г. - Check Point Research, подразделение по анализу угроз Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущий поставщик решений для кибербезопасности во всем мире, недавно обнаружил уязвимости безопасности в определенных поддоменах Amazon / Alexa, которые позволили бы хакеру удалить / установить навыки в учетной записи Alexa целевой жертвы, получить доступ к истории голоса и личным данным. . Атака требовала однократного нажатия пользователем вредоносной ссылки, созданной хакером, и голосового взаимодействия жертвы. С более чем 200 миллионами проданных по всему миру устройств Alexa может осуществлять голосовое взаимодействие, настраивать оповещения, воспроизводить музыку и управлять интеллектуальными устройствами в системе домашней автоматизации. Пользователи могут расширить возможности Alexa, установив «навыки». которые являются голосовыми приложениями. Однако личная информация, хранящаяся в учетных записях пользователей Alexa, и использование устройства в качестве контроллера домашней автоматизации делают их привлекательной целью для хакеров.

Исследователи Check Point продемонстрировали, как уязвимости, обнаруженные в определенных поддоменах Amazon / Alexa, могут быть использованы хакером, создавшим и отправив целевому пользователю вредоносную ссылку, которая, похоже, исходит от Amazon. Если пользователь щелкает ссылку, злоумышленник может:

  • Доступ к личной информации жертвы, такой как история банковских данных, имена пользователей, номера телефонов и домашний адрес
  • Извлеките историю голоса жертвы с помощью Alexa
  • Автоматическая установка навыков (приложений) в учетной записи пользователя Alexa
  • Просмотр всего списка навыков учетной записи пользователя Alexa
  • Тихо удалить установленный навык

«Умные колонки и виртуальные помощники настолько распространены, что легко упустить из виду, сколько личных данных они хранят, и их роль в управлении другими умными устройствами в наших домах. Но хакеры видят в них точки входа в жизни людей, дающие им возможность получать доступ к данным, подслушивать разговоры или совершать другие злонамеренные действия без ведома владельца », - сказал Одед Вануну, руководитель отдела исследований уязвимостей продуктов в Check Point. «Мы провели это исследование, чтобы подчеркнуть, насколько важна защита этих устройств для сохранения конфиденциальности пользователей. К счастью, Amazon быстро отреагировал на наше раскрытие информации, чтобы закрыть эти уязвимости в определенных поддоменах Amazon / Alexa. Мы надеемся, что производители подобных устройств последуют примеру Amazon и проверят свои продукты на наличие уязвимостей, которые могут поставить под угрозу конфиденциальность пользователей. Ранее мы проводили исследования в Tiktok, WhatsApp и Fortnite. Alexa уже некоторое время нас беспокоит, учитывая его повсеместное распространение и подключение к устройствам IoT. Именно эти мега-цифровые платформы могут навредить нам больше всего. Поэтому их уровень безопасности имеет решающее значение ».

Amazon исправила эту проблему вскоре после того, как о ней было сообщено.

Для получения подробной информации об уязвимостях и видео, показывающего, как они могли быть использованы, посетите https://research.checkpoint.com

О Check Point Research
Check Point Research предоставляет передовую аналитическую информацию о киберугрозах Check Point Software заказчики и более широкое разведывательное сообщество. Исследовательская группа собирает и анализирует глобальные данные о кибератаках, хранящиеся в ThreatCloud, чтобы держать хакеров в страхе, обеспечивая при этом обновление всех продуктов Check Point с помощью последних средств защиты. Исследовательская группа состоит из более чем 100 аналитиков и исследователей, сотрудничающих с другими поставщиками систем безопасности, правоохранительными органами и различными CERT.

Следите за Check Point Research через:

О нас Check Point Software Технологии ООО
Check Point Software Technologies Ltd. (www.checkpoint.com) - ведущий поставщик решений в области кибербезопасности для правительств и корпоративных предприятий во всем мире. Решения Check Point защищают клиентов от кибератак 5-го поколения за счет лучшего в отрасли показателя обнаружения вредоносных программ, программ-вымогателей и сложных целевых угроз. Check Point предлагает многоуровневую архитектуру безопасности «Infinity Total Protection с расширенным предотвращением угроз поколения V». Эта комбинированная архитектура продукта защищает корпоративное облако, сеть и мобильные устройства. Check Point предоставляет наиболее полную и интуитивно понятную единую систему управления безопасностью. Check Point защищает более 100,000 XNUMX организаций любого размера.

###