Las fallas de Amazon Alexa podrían haber revelado la dirección de la casa y otros datos personales

por

Las fallas también podrían haber ayudado a los atacantes a obtener nombres de usuario, números de teléfono, historial de voz y habilidades instaladas, dice Check Point Research.

amazon-echo-product-photos-14-1.jpg

Imagen: CNET

Los dispositivos inteligentes y sus asistentes de voz se han convertido en una forma generalizada y popular de encontrar información, controlar nuestro entorno, comunicarnos con otros y aprovechar una gran cantidad de habilidades, desde negocios hasta entretenimiento. Pero a medida que compartimos ciertas solicitudes y detalles personales con nuestros dispositivos inteligentes, han surgido preocupaciones sobre la seguridad y privacidad de nuestros datos.

Un informe publicado el jueves por el proveedor de inteligencia Check Point Research destaca las vulnerabilidades de seguridad recientes encontradas en Amazon Alexa, que podrían haber dado a los atacantes acceso a la información confidencial de los usuarios.

VER: Amazon Alexa: una guía privilegiada (.) (TechRepublic)

En una publicación de blog titulada “Mantener la puerta cerrada en sus dispositivos IoT: vulnerabilidades encontradas en Alexa de Amazon, “Check Point describe cómo descubrió una serie de vulnerabilidades en el asistente de voz de Amazon que podrían haber brindado una puerta abierta a los piratas informáticos. La frase operativa aquí es” podría haberlo hecho “. Check Point compartió responsablemente sus hallazgos con Amazon en junio de 2020, lo que provocó el empresa para parchear las vulnerabilidades y solucionar el problema.

“La seguridad de nuestros dispositivos es una prioridad máxima y apreciamos el trabajo de investigadores independientes como Check Point, que nos plantean problemas potenciales”, dijo un portavoz de Amazon a TechRepublic. “Solucionamos este problema poco después de que se nos informó, y continuamos fortaleciendo aún más nuestros sistemas. No tenemos conocimiento de ningún caso en el que esta vulnerabilidad se use contra nuestros clientes o de que se exponga la información del cliente”.

Sin embargo, si bien las fallas aún existían, Check Point dijo que los piratas informáticos podrían haber intentado los siguientes actos maliciosos:

  • Habilidades y aplicaciones instaladas silenciosamente en la cuenta de Alexa de un usuario.
  • Obtuve una lista de todas las habilidades instaladas en la cuenta de Alexa del usuario.
  • Elimina silenciosamente una habilidad instalada.
  • Obtuve el historial de voz de la víctima con Alexa.
  • Obtuve la información personal de la víctima, incluido el nombre de usuario, la dirección de la casa y el número de teléfono.

“Los altavoces inteligentes y los asistentes virtuales son tan comunes que es fácil pasar por alto la cantidad de datos personales que tienen y su función en el control de otros dispositivos inteligentes en nuestros hogares”, dijo Oded Vanunu, jefe de investigación de vulnerabilidades de productos de Check Point, en una prensa. lanzamiento. “Pero los piratas informáticos los ven como puntos de entrada a la vida de las personas, dándoles la oportunidad de acceder a datos, escuchar conversaciones o realizar otras acciones maliciosas sin que el propietario se dé cuenta”.

En su investigación, Check Point descubrió que varios subdominios para Alexa y Amazon contenían múltiples agujeros de seguridad. Específicamente, estos subdominios eran vulnerables a Cross Site Scripting (XSS), aunque los atacantes inyectan código malicioso del lado del cliente en los sitios web.

Además, los subdominios eran vulnerables a errores de configuración en Uso compartido de recursos entre orígenes (CORS), que otorga a una aplicación web en un dominio acceso a recursos específicos en otro dominio. Usando un exploit conocido como Cross-Site Request Forgery (CSRF), los atacantes podrían haber usado XSS para obtener un token CSRF para realizar acciones en nombre de la víctima.

Con estos subdominios vulnerables, el flujo de un ataque podría haberse desarrollado de la siguiente manera:

  1. El usuario hace clic en un enlace malicioso que lo dirige a track.amazon.com, donde el atacante tiene capacidad de inyección de código.
  2. Luego, el atacante envía una solicitud con las cookies del usuario a skillsstore.amazon.com/app/secure/your-skills-page y obtiene una lista de todas las habilidades instaladas en la cuenta de Alexa y el token CSRF.
  3. El atacante usa el token CSRF para eliminar una habilidad común de la lista del usuario.
  4. El atacante instala una habilidad con la misma frase de activación que la habilidad eliminada.
  5. Una vez que el usuario intenta utilizar la frase de activación, se ejecuta la habilidad del atacante en lugar de la habilidad esperada.

Al manipular las habilidades de un usuario, un ataque podría haber accedido al historial de voz de la persona con Alexa, es decir, tanto los comandos de voz iniciales como las respuestas de Alexa a ellos. Amazon no registra las credenciales de la cuenta bancaria, pero la interacción de la víctima con la habilidad bancaria podría haberse utilizado para obtener el historial de datos bancarios, según Check Point. Abusando de otros tipos de habilidades, el atacante también podría encontrar nombres de usuario, números de teléfono e incluso direcciones de casa, según el informe.

Aunque Amazon cuestionó un par de afirmaciones específicas planteadas en la investigación, Check Point defiende sus hallazgos.

“De hecho, era posible que un pirata informático tuviera acceso al historial de transacciones bancarias de un usuario de Alexa”, dijo el jefe de relaciones públicas de Check Point, Ekram Ahmed. “Simplemente, si una persona usara Alexa para realizar compras o transacciones, un atacante podría ver esas compras o transacciones haciendo que el usuario haga clic en un enlace creado, a menos que el usuario haya eliminado su historial de voz. Para corroborar este punto , aquí está Declaración propia de Amazon sobre lo que registra “.

Además, las fallas que descubrió Check Point podrían haber permitido a un atacante cargar una habilidad en Alexa, afirmó Ahmed. Aunque tal habilidad podría no haber sido necesariamente de naturaleza “maliciosa”, la habilidad aún podría haber resultado problemática. Por ejemplo, un atacante podría haber subido una habilidad que iniciaría una grabación, abriría una cámara o encendería el micrófono.

“Realizamos esta investigación para resaltar cómo proteger estos dispositivos es fundamental para mantener la privacidad de los usuarios”, dijo Vanunu. “Afortunadamente, Amazon respondió rápidamente a nuestra divulgación para cerrar estas vulnerabilidades en ciertos subdominios de Amazon / Alexa. Alexa nos ha preocupado por un tiempo, dada su ubicuidad y conexión con los dispositivos IoT. Son estas mega plataformas digitales las que pueden dañarnos más . Por lo tanto, sus niveles de seguridad son de crucial importancia “.

Para los usuarios de dispositivos inteligentes y aplicaciones de asistente de voz, Ahmed ofrece los siguientes tres consejos de seguridad:

  • Evite las aplicaciones desconocidas. No instale aplicaciones desconocidas en su altavoz inteligente.
  • Piense dos veces antes de compartir. Tenga cuidado con la información confidencial que comparte con su altavoz inteligente (por ejemplo, contraseñas, cuentas bancarias).
  • Leer sobre la aplicación. Tenga en cuenta que hoy en día cualquiera puede crear aplicaciones de asistente inteligente, así que lea acerca de la aplicación antes de instalarla y verifique qué permisos requiere. Solo recuerde que cualquiera puede publicar una habilidad y que las habilidades tienen la capacidad de realizar acciones y obtener información.

Sigue navegando por nuestra web viendo más artículos.

Publicaciones relacionadas:

  1. Cómo proteger sus datos personales para que no se vendan en la Dark Web
  2. Ataque de phishing falsifica el alivio del COVID-19 del IRS para robar datos personales
  3. Cómo configurar Amazon Alexa
  4. Amazon Alexa: deshabilitar la compra por voz

Deja un comentario