Actuellement, plus que 200 millions d'appareils alimentés par Alexa sont utilisés dans le monde. L'assistant virtuel intelligent d'Amazon occupe les premières places sur la plupart des marchés.
Aux Etats-Unis. seul, une analyse prédictive eMarketer pour 2021 montre que 70% de tous les propriétaires de haut-parleurs intelligents continueront d'utiliser Alexa.
Capable d'interaction vocale, jouer de la musique, et effectuer d'autres tâches simples, Les compétences d'Alexa peuvent désormais être étendues avec des fonctionnalités supplémentaires développées par des fournisseurs tiers. Ces compétences peuvent être perçues comme des applications, comme les programmes météo et les fonctionnalités audio.
Vulnérabilités dans Alexa d'Amazon
Malheureusement, Les chercheurs en sécurité de Checkpoint ont récemment découvert que des sous-domaines spécifiques d'Amazon / Alexa étaient vulnérables au partage de ressources inter-origines (HEARTS) mauvaise configuration et script intersite (XSS). “En utilisant le XSS, nous avons pu obtenir le jeton CSRF et effectuer des actions au nom de la victime,” l'équipe a dit en leur rapport. Les attaques nouvellement découvertes peuvent également altérer les compétences ajoutées à Alexa.
Les vulnérabilités auraient pu permettre à un attaquant de supprimer ou d'installer des compétences sur le Alexa compte, accéder à leur historique vocal et acquérir des informations personnelles grâce à l'interaction des compétences lorsque l'utilisateur invoque la compétence installée, les chercheurs.
Que permettraient ces vulnérabilités à une attaque?
-Installer silencieusement les compétences (applications) sur le compte Alexa d'un utilisateur
-Obtenez une liste de toutes les compétences installées sur le compte Alexa de l'utilisateur
-Supprimer silencieusement une compétence installée
-Obtenez l'historique vocal de la victime avec son Alexa
-Obtenez les informations personnelles de la victime
Comme on le voit dans un nombre courant d'attaques malveillantes, tout ce qui est nécessaire pour que l'exploit soit lancé est juste un clic sur un lien Amazon spécialement conçu. La bonne nouvelle est que les exploits ont déjà été corrigés, suite au rapport de Checkpoint en juin 2020.
Quelle est la sécurité d'Amazon Echo?
En août 2017, Les chercheurs de MWR Labs ont pu démontrer code de preuve de concept par rapport à l'appareil Amazon Echo. L'équipe a pu montrer comment un logiciel malveillant Amazon Echo potentiel peut être utilisé pour espionner les utilisateurs et mener des actions malveillantes.. Cela était possible en raison d'une implémentation matérielle non sécurisée permettant l'accès via des tampons de débogage exposés. Cela pourrait alors permettre à l'appareil d'être démarré à partir de périphériques de stockage externes.