Взлом Alexa предоставил злоумышленникам доступ к сети умного дома пользователя Echo

В Amazon Alexa был обнаружен ряд уязвимостей, что подчеркивает необходимость для поставщиков платформ для умного дома, таких как Apple HomeKit, поддерживать безопасность как часть услуги.

Концепция умного дома привлекательна, но мечта о том, чтобы нанять виртуального помощника для автоматизации домашних дел, превращается в кошмар, когда возникают проблемы с безопасностью. В случае Amazon Alexa, которая лежит в основе настройки умного дома многих людей, были обнаружены уязвимости, которые могут позволить злоумышленнику выполнять задачи и узнавать, что пользователь сказал Alexa.

Отчет исследователей Check Point Security показывает, что ряд поддоменов Amazon и Alexa были уязвимы для неправильной конфигурации Cross-Origin Resource Sharing (CORS) и межсайтового скриптинга (XSS). Используя XSS, злоумышленник сможет получить токен CSRF, который предоставит им доступ к элементам установки умного дома.

По словам исследователей, это может включать автоматическую установку навыков Alexa без ведома пользователя, получение списка всех установленных навыков, тихое удаление установленных навыков, получение истории голоса жертвы с помощью Alexa и даже получение личной информации.

Эта манипуляция навыками может позволить установить и использовать модифицированную версию существующего навыка, которая может позволить злоумышленнику выполнять действия или для дальнейшего получения данных от пользователя. Злоумышленник даже может установить навык для подслушивания разговоров рядом с устройством Echo.

Утверждается, что успешное использование уязвимостей станет возможным после того, как жертва перейдет по ссылке Amazon.

Check Point ответственно сообщила Amazon об уязвимостях в июне 2020 года, и проблемы были исправлены.

«Устройства Интернета вещей по своей природе уязвимы и все еще не имеют надлежащей защиты, что делает их привлекательными целями для злоумышленников», — пишет Check Point. «Киберпреступники постоянно ищут новые способы взломать устройства или использовать их для заражения других критически важных систем. Это исследование выявило слабое место в том, что является мостом к таким устройствам IoT. И мост, и устройства служат точками входа. Они должны быть в безопасности в любое время, чтобы хакеры не проникли в наши умные дома «.

Amazon в прошлом вызывал разногласия по поводу проблем безопасности и конфиденциальности своей платформы умного дома. В 2019 году было обнаружено, что сотрудники Amazon прослушивали аудиозаписи с устройств Echo, чтобы повысить их точность, а позже в том же году исследователи смогли добавить шпионские приложения в магазины приложений для Alexa и Google Home, которые позволили осуществлять подслушивание и фишинг. ,

Хотя Apple действительно использует свою собственную платформу умного дома HomeKit, компания прилагает все усилия, чтобы обеспечить максимальную безопасность каждого элемента. Это включает в себя широкое использование шифрования, а также длинный список требований и ограничений, которые должно соблюдать каждое новое HomeKit-совместимое устройство для работы на платформе.