Спецпроекты

Check Point обнаружила уязвимости в голосовом помощнике Alexa

Безопасность Стратегия безопасности

Check Point Software Technologies, поставщик решений в области кибербезопасности, обнаружила уязвимости некоторых поддоменов Amazon/Alexa, благодаря которым хакеры могли управлять учетной записью пользователей, получать доступ к их голосовой истории и личным данным.

На конец 2019 г. в мире было продано более 200 млн устройств с голосовым помощником Alexa. Эта технология способна к голосовому взаимодействию, может устанавливать оповещения, воспроизводить музыку, а также управлять устройствами умного дома. Пользователи могут расширять возможности Alexa, устанавливая дополнительные функции в виде голосовых приложений. Однако личные данные, хранящиеся в учетных записях пользователей, а также доступ к системе умного дома, делают приложение Alexa привлекательной мишенью для хакеров.

Исследователи Check Point выявили уязвимости в некоторых поддоменах Amazon Alexa. Благодаря этим уязвимостям мошенники могли атаковывать целевого пользователя, отправляя ему вредоносную ссылку. После перехода жертвы по ссылке у хакеров появлялись следующее возможности: доступ к личной информации жертвы, такой как история банковских данных, имена пользователей, телефонные номера, а также домашний адрес; доступ к голосовой истории пользователя Alexa; возможность устанавливать и удалять приложения без ведома пользователя; доступ к списку дополнительных функций в учетной записи пользователя Alexa.

«Умные колонки и виртуальные помощники кажутся настолько непримечательными, что, порой, мы упускаем из виду их роль в управлении умным домом, а также то, сколько личных данных они хранят. По этой причине, хакеры рассматривают подобные приложения, как точки входа в жизнь людей, благодаря которым они могут получить доступ к личным данным, подслушивать разговоры и совершать иные вредоносные действия без ведома пользователя, — сказал Одед Вануну (Oded Vanunu), глава отдела исследования уязвимостей Check Point Software Technologies. — Цель нашего исследование — освещение необходимости обеспечения безопасности таких устройств, как Alexa. К счастью, специалисты Amazon быстро исправили уязвимости в поддоменах Amazon/Alexa. Мы надеемся, что производители подобных устройств последуют примеру Amazon и проверят свои продукты на наличие уязвимостей, которые потенциально могут компрометировать конфиденциальность пользователей».

Команда Check Point сообщила о найденных уязвимостях Amazon в июне 2020 г., которые вскоре были оперативно исправлены.