Falha de segurança permitia a malfeitores controlar a Alexa

Foto por Fabian Hurnaus em Pexels.com

Bastava a vítima clicar em um link malicioso para dar controle do dispositivo a malfeitores; vulnerabilidade já foi corrigida pela Amazon

Pesquisadores da Check Point Research descobriram que a Alexa, assistente virtual da Amazon, é vulnerável a um ataque relativamente simples, que poderia legar ao vazamento de informações pessoais de seu proprietário.

Alguns subdomínios do serviço estavam vulneráveis a má configuração de recursos como Cross-Origin Resource Sharing (CORS), que permite que sites carreguem recursos de outros domínios que não o seu próprio, e Cross Site Scripting (XSS), que permite que criminosos injetem código em páginas visitadas por suas vítimas.

Com isso os pesquisadores descobriram que era possível capturar um token de autenticação, permitindo que executem ações no dispositivo da vítima, sem sua autorização ou conhecimento.

Esta vulnerabilidade permitiria a hackers instalar novas Skills (aplicativos que ampliam os recursos do Alexa) na conta de um usuário, obter uma lista das skills instaladas, remover uma skill instalada, obter o histórico de interações de voz entre o usuário e a Alexa e obter informações pessoais da vítima.

Para explorar a falha, tudo o que um malfeitor precisaria fazer é convencer o usuário a clicar em um link da Amazon especialmente elaborado, que pode ser disfarçado, por exemplo, como um link para um produto na loja da empresa.

Segundo a Check Point Research, que publicou um artigo técnico detalhando a vulnerabilidade, a Amazon foi informada em junho de 2020, e já corrigiu o problema.

“Os dispositivos IoT são inerentemente vulneráveis ​​e ainda carecem de segurança adequada, o que os torna alvos atraentes para os cibercriminosos. Eles estão continuamente procurando novas maneiras de violar dispositivos ou de usá-los para infectar outros sistemas críticos”, disse a Checkpoint.

“Esta pesquisa apresentou um ponto fraco no que é uma ponte para tais dispositivos IoT. Tanto a ponte quanto os dispositivos servem como pontos de entrada. Eles devem ser mantidos protegidos o tempo todo para evitar que hackers se infiltrem em nossas casas inteligentes”, afirma a empresa.

Fonte: Checkpoint Research

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.