Alexa, l’assistente vocale di Amazon, è vittima di una grave violazione della sicurezza . I ricercatori della sicurezza informatica di CheckPoint Research hanno rilasciato un comunicato stampa giovedì 13 agosto in cui affermano di aver ” identificato vulnerabilità in alcuni sottodomini Amazon / Alexa che potrebbero consentire a un hacker di rimuovere / installare competenze sull’account Alexa di la vittima “.
Queste vulnerabilità consentirebbero a un hacker di ” accedere alla cronologia degli scambi vocali e dei dati personali” del bersaglio, come le coordinate bancarie, i numeri di telefono o anche l’indirizzo postale . I ricercatori specificano che Amazon non salva i tuoi dati bancari, ma che un hacker può ancora ” accedere alle interazioni della vittima con i suoi servizi bancari e ottenere la sua cronologia dei dati”.
Un difetto facilmente sfruttabile
Sempre secondo CheckPoint Research, lo sfruttamento di questo difetto è abbastanza semplice . Per accedere al sistema, la vittima deve fare clic su un collegamento dannoso contenuto in un’e-mail fasulla da Amazon. Questo collegamento reindirizza quindi la destinazione a una pagina contenente codice dannoso. L’hacker deve solo inviare una richiesta speciale al negozio di abilità di Alexa fingendo di essere l’utente legittimo.
Una volta lì, l’attaccante può iniziare a rimuovere o installare abilità aggiuntive o accedere ai vari dati personali sopra menzionati. Come promemoria, un’abilità non è né più né meno di un’applicazione vocale aggiunta alle funzionalità predefinite di Alexa.
Nessuna vittima da deplorare secondo Amazon
” Gli altoparlanti intelligenti e gli assistenti virtuali sono così comuni che è facile trascurare la quantità di dati personali in loro possesso e il loro ruolo nel controllo di altri dispositivi intelligenti nelle nostre case. Gli hacker li vedono come punti di ingresso nella vita delle persone, per accedere ai dati, ascoltare conversazioni o eseguire altre azioni dannose all’insaputa del loro proprietario “, ricorda Oded Vanunu, responsabile della ricerca su vulnerabilità del prodotto in CheckPoint.
Da parte sua, Amazon è stata informata del problema e ha rapidamente corretto il difetto , garantendo di sfuggita di non essere a conoscenza di ” qualsiasi caso di utilizzo di questa vulnerabilità nei confronti dei nostri clienti o esposizione di informazioni sul clienti “. Come promemoria, nel 2018 Alexa aveva registrato e condiviso le conversazioni di una coppia a loro insaputa .