Amazon Alexa's brugere skal være opmærksomme på en ny sårbarhed i kontrolprocessen med stemmeassistenter.
Sårbarheder i Alexa Skill Ecosystem
Smuthullerne kunne tillade trusselsaktører at offentliggøre en vildledende færdighed under ethvert vilkårligt udviklernavn. De kunne endda anvende ændringer i backend-koden efter godkendelse for at narre brugere til at afsløre følsomme detaljer.
Forskningen blev udført af en gruppe akademikere fra Ruhr-Universität Bochum og North Carolina State University. Under deres arbejde, analyserede forskerne 90,194 færdigheder til rådighed i syv lande, såsom USA, UK, Australien, Canada, Tyskland, Japan, og Frankrig. Deres fund blev præsenteret under netværks- og distribueret systemsikkerhedssymposium (NDSS) konference.
“Amazons stemmebaserede assistent, Alexa, gør det muligt for brugere at interagere direkte med forskellige webtjenester gennem naturlige sprogdialoger. Det giver udviklere mulighed for at oprette tredjepartsapplikationer (kendt som færdigheder) at løbe oven på Alexa. Mens sådanne applikationer letter brugernes interaktion med smarte enheder og styrker en række yderligere tjenester, de rejser også sikkerhed og privatlivets fred på grund af den personlige indstilling, de opererer i,”Forklarer forskningsopgaven.
I betragtning af den udbredte vedtagelse af Alexa og potentialet for ondsindede aktører til at misbruge færdigheder, Målet med denne artikel er at udføre en systematisk analyse af Alexa-færdighedsøkosystemet og identificere potentielle smuthuller, der kan udnyttes af ondsindede aktører.
Holdet er mest bekymret for det faktum, at brugerne kan aktivere en forkert færdighed, hvilket kan føre til ondsindede resultater, hvis den nævnte færdighed var designet med sådanne formål. Endvidere, flere færdigheder kan bruge den samme påkaldssætning. Analysen afdækket 9,948 færdigheder, der delte den samme påkaldelse med mindst en anden færdighed. Kun 36,055 færdigheder brugte et unikt påkaldelsesnavn, hedder det i rapporten.
Da Amazons kriterier for automatisk aktivering af en bestemt færdighed blandt flere færdigheder med samme navn ikke er kendt, aktivering af de forkerte færdigheder er mulig. Hvad er mere, trusselaktører kunne offentliggøre færdigheder ved hjælp af navnene på kendte virksomheder.
Dette hul kan føre til phishing-angreb, som forskerne forklarer det:
Dette sker primært, fordi Amazon i øjeblikket ikke anvender nogen automatiseret tilgang til at opdage overtrædelser til brug af tredjeparts varemærker, og afhænger af manuel kontrol for at fange sådanne ondsindede forsøg, der er tilbøjelige til menneskelige fejl. Som et resultat kan brugere blive udsat for phishing-angreb, der er lanceret af en angriber.
Denne trussel svarer til en teknik, der kaldes versionering, bruges til at omgå verifikationsbeskyttelse. Versioning betyder at sende en legitim app til en appbutik, og derefter gradvis erstatte det med ondsindet funktionalitet gennem opdateringer.
Hvis du er interesseret i den fulde tekniske afsløring af forskningen, du kan læse hele Alexa Skill Ecosystem-rapport.
Ikke første gang Amazon-færdigheder blev misbrugt i cyberangreb
Sidste år, Alexa blev hacket med succes. Sikkerhedsforskere ved Checkpoint opdagede, at specifikke Amazon / Alexa-underdomæner var sårbare over for ressourcedeling på tværs af oprindelse (HEARTS) fejlkonfiguration og scripting på tværs af sider (XSS). Det er bemærkelsesværdigt, at angrebene også kan manipulere med de færdigheder, der er tilføjet Alexa.
Sårbarhederne kunne have tilladt det en hacker til at fjerne eller installere færdigheder på den målrettede Alexa-konto, få adgang til deres stemmehistorie og få personlig information gennem færdighedsinteraktion, når brugeren påberåber sig den installerede evne.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: