Un error en Amazon Alexa inteligente de los dispositivos del hogar podría haber permitido a los hackers acceder a la información personal y el historial de conversaciones, de seguridad cibernética, los investigadores dicen.
los Atacantes podrían instalar o eliminar aplicaciones en un dispositivo sin que el propietario de saber, de Punto de Verificación informes de Investigación.
El hack «se requiere un solo clic en un enlace de Amazon» deliberadamente diseñado por el atacante, dice.
La firma dijo a Amazon sobre la falla, lo que ya se ha solucionado.
Amazon dijo: «La seguridad de nuestros dispositivos es una prioridad, y apreciamos el trabajo de los investigadores independientes como Punto de control que traen problemas potenciales para nosotros.»
dijo Que no sabía de ningún caso en el que un mal actor había utilizado la vulnerabilidad a la meta de sus clientes.
En enero, Amazon dijo que hay «cientos de millones» de Alexa dispositivos en el mundo.
Malicioso habilidades
Check Point, dijo el hack requiere de la creación de un malicioso enlace de Amazon, que sería enviado a un usuario desprevenido.
una Vez que hace clic en el enlace, el atacante podría obtener una lista de todas instalado Alexa «habilidades» – o apps – y robar un token permitiendo agregar o quitar habilidades.
Una forma de utilizar el defecto sería eliminar una habilidad y, a continuación, instalar una maliciosa que utiliza la misma «frase de invocación» – la serie de las palabras habladas se utiliza para activarlo. Esto se podría haber hecho sin que el usuario lo sepa.
La próxima vez que el usuario ha intentado activar esa habilidad, se habría corrido el atacante de la aplicación en su lugar.
Amazon Echo ‘hackeado’ para espiar a los usuarios de Amazon tarda en supermercados con alimentos libres de entrega
Los atacantes habría sido capaz de ver a Alexa voz del historial de conversaciones entre el usuario y el dispositivo.
Check Point ha dicho que esto podría crear graves problemas, que apunta a la banca de habilidades que permiten al usuario comprobar su saldo de la cuenta.
«Esto podría llevar a la exposición de información personal, como datos bancarios de la historia», argumentaron – aunque no guardar la banca detalles de inicio de sesión.
Amazon se opuso a esta propuesta, sin embargo, decir que la banca de información – como saldos – fue redactada en el registro de Alexa respuestas, por lo que podría no haber sido consultado.
El ataque podría también permitir el acceso a la información personal en la Amazonía perfil, tales como dirección de su casa, Check Point, dijo.
Amazon también dijo que creía que el uso de un secreto malicioso habilidad era menos probable que la Verificación del Punto de investigadores implícita.
reproducción de Medios no es compatible en el dispositivo de Medios captionAmazon la cabeza de Alexa Dave Limp en las preocupaciones de privacidad
Se dijo que no había sistemas en el lugar para evitar malicioso habilidades de tocar el Alexa Habilidades de la Tienda y que las revisiones de seguridad eran parte de su proceso.
Mal comportarse aplicaciones fueron también de manera rutinaria desactivado, dijo.
«Su proceso de selección, probablemente, hubiera cogido la mayoría de los malos actores que son muy buenos en eso y saben que su reputación está en juego», dijo de la Universidad de Surrey cyber-experto en seguridad el Profesor Alan Woodward.
«lo que pasa con este hack fue que era debido a una vulnerabilidad que es bien conocido… por lo que es sorprendente ver que en Amazon raíces.»
dijo Que el acceso a las grabaciones de voz era una gran preocupación, pero no estaba seguro de si otros hackers podrían haber sabido acerca de las vulnerabilidades en subdominios específicos utilizados para lanzar el ataque.
«a Pesar de que si la seguridad de los investigadores descubrieron que, estoy seguro de que personas sin escrúpulos podría haber hecho lo mismo.»