Les utilisateurs d'Amazon Alexa doivent être conscients d'une nouvelle vulnérabilité dans le processus de vérification des compétences de l'assistant vocal.
Vulnérabilités dans l'écosystème de compétences Alexa
Les failles pourraient permettre aux acteurs de la menace de publier une compétence trompeuse sous n'importe quel nom de développeur arbitraire. Ils pourraient même appliquer des modifications dans le code backend après approbation pour inciter les utilisateurs à révéler des détails sensibles.
La recherche a été menée par un groupe d'universitaires de la Ruhr-Universität Bochum et de la North Carolina State University. Pendant leur travail, les chercheurs ont analysé 90,194 compétences disponibles dans sept pays, comme les États-Unis, Royaume-Uni, Australie, Canada, Allemagne, Japon, et la France. Leurs conclusions ont été présentées lors du Symposium sur la sécurité des réseaux et des systèmes distribués (NDSS) conférence.
"L'assistant vocal d'Amazon, Alexa, permet aux utilisateurs d'interagir directement avec divers services Web via des dialogues en langage naturel. Il offre aux développeurs la possibilité de créer des applications tierces (connu sous le nom de Skills) courir au-dessus de Alexa. Tandis que ces applications facilitent l’interaction des utilisateurs avec les appareils intelligents et renforcent un certain nombre de services supplémentaires, ils soulèvent également des problèmes de sécurité et de confidentialité en raison de l'environnement personnel dans lequel ils opèrent,»Explique le document de recherche.
Compte tenu de l'adoption généralisée d'Alexa et du potentiel d'acteurs malveillants à abuser des compétences, l'objectif de cet article est de réaliser une analyse systématique de l'écosystème de compétences Alexa et d'identifier les failles potentielles qui pourraient être exploitées par des acteurs malveillants.
L'équipe est surtout préoccupée par le fait que les utilisateurs peuvent activer une mauvaise compétence, ce qui pourrait conduire à des résultats malveillants, si ladite compétence a été conçue à ces fins. En outre, plusieurs compétences peuvent utiliser la même phrase d'invocation. L'analyse a découvert 9,948 compétences partageant la même invocation avec au moins une autre compétence. Seulement 36,055 les compétences ont utilisé un nom d'appel unique, le rapport.
Étant donné que les critères d'Amazon pour activer automatiquement une compétence spécifique parmi plusieurs compétences portant le même nom ne sont pas connus, activer les mauvaises compétences est possible. De plus, les acteurs de la menace pourraient publier des compétences en utilisant les noms d'entreprises bien connues.
Cet écart pourrait conduire à des attaques de phishing, comme l'expliquent les chercheurs:
Cela se produit principalement parce qu'Amazon n'emploie actuellement aucune approche automatisée pour détecter les infractions liées à l'utilisation de marques tierces., et dépend de la vérification manuelle pour attraper de telles tentatives malveillantes qui sont sujettes à l'erreur humaine. En conséquence, les utilisateurs peuvent être exposés à des attaques de phishing lancées par un attaquant.
Cette menace est similaire à une technique connue sous le nom de gestion des versions, utilisé pour contourner les protections de vérification. Le contrôle de version signifie soumettre une application légitime à un magasin d'applications, puis le remplacer progressivement par des fonctionnalités malveillantes via des mises à jour.
Si vous êtes intéressé par la divulgation technique complète de la recherche, vous pouvez lire l'intégralité Rapport sur l'écosystème des compétences Alexa.
Ce n'est pas la première fois que les compétences d'Amazon ont été abusées dans des cyberattaques
L'année dernière, Alexa a été piratée avec succès. Les chercheurs en sécurité de Checkpoint ont découvert que des sous-domaines spécifiques d'Amazon / Alexa étaient vulnérables au partage de ressources inter-origines (HEARTS) mauvaise configuration et script intersite (XSS). Il est à noter que les attaques pourraient également altérer les compétences ajoutées à Alexa.
Les vulnérabilités auraient pu permettre un attaquant pour supprimer ou installer des compétences sur le compte Alexa ciblé, accéder à leur historique vocal et acquérir des informations personnelles grâce à l'interaction des compétences lorsque l'utilisateur invoque la compétence installée.