Gli utenti di Amazon Alexa dovrebbero essere consapevoli di una nuova vulnerabilità nel processo di verifica delle competenze dell'assistente vocale.
Vulnerabilità nell'ecosistema delle abilità di Alexa
Le scappatoie potrebbero consentire agli autori delle minacce di pubblicare un'abilità ingannevole sotto qualsiasi nome di sviluppatore arbitrario. Potrebbero persino applicare modifiche al codice di backend dopo l'approvazione per indurre gli utenti a rivelare dettagli sensibili.
La ricerca è stata condotta da un gruppo di accademici della Ruhr-Universität Bochum e della North Carolina State University. Durante il loro lavoro, i ricercatori hanno analizzato 90,194 competenze disponibili in sette paesi, come gli Stati Uniti, Regno Unito, Australia, Canada, Germania, Giappone, e la Francia. I loro risultati sono stati presentati durante il Network and Distributed System Security Symposium (NDSS) conferenza.
"L'assistente vocale di Amazon, Alexa, consente agli utenti di interagire direttamente con vari servizi web attraverso dialoghi in linguaggio naturale. Fornisce agli sviluppatori la possibilità di creare applicazioni di terze parti (noto come abilità) su cui eseguire Alexa. Sebbene tali applicazioni facilitino l'interazione degli utenti con i dispositivi intelligenti e rafforzino una serie di servizi aggiuntivi, sollevano anche problemi di sicurezza e privacy a causa del contesto personale in cui operano,"Spiega il documento di ricerca.
Data l'adozione diffusa di Alexa e la possibilità che i malintenzionati facciano un uso improprio delle competenze, l'obiettivo di questo documento è eseguire un'analisi sistematica dell'ecosistema di competenze di Alexa e identificare potenziali scappatoie che possono essere sfruttate da attori malintenzionati.
Il team è principalmente preoccupato per il fatto che gli utenti possano attivare un'abilità sbagliata, che potrebbe portare a risultati dannosi, se la suddetta abilità è stata progettata con tali scopi. Inoltre, più abilità possono utilizzare la stessa frase di invocazione. L'analisi ha scoperto 9,948 abilità che condividevano la stessa invocazione con almeno un'altra abilità. Solo 36,055 le abilità hanno utilizzato un nome di chiamata univoco, il rapporto dice.
Poiché i criteri di Amazon per abilitare automaticamente una specifica abilità tra più abilità con lo stesso nome non sono noti, è possibile attivare le abilità sbagliate. Inoltre, gli autori delle minacce potrebbero pubblicare le competenze utilizzando i nomi di aziende note.
Questa lacuna potrebbe portare ad attacchi di phishing, come spiegano i ricercatori:
Ciò accade principalmente perché Amazon attualmente non utilizza alcun approccio automatizzato per rilevare le violazioni per l'uso di marchi di terze parti, e dipende dal controllo manuale per rilevare tali tentativi malevoli che sono inclini all'errore umano. Di conseguenza, gli utenti potrebbero essere esposti ad attacchi di phishing lanciati da un utente malintenzionato.
Questa minaccia è simile a una tecnica nota come controllo delle versioni, utilizzato per aggirare le protezioni di verifica. Controllo delle versioni significa inviare un'app legittima a un app store, e quindi sostituendolo gradualmente con funzionalità dannose tramite aggiornamenti.
Se sei interessato alla divulgazione tecnica completa della ricerca, puoi leggere l'intero Rapporto sull'ecosistema delle abilità di Alexa.
Non è la prima volta che le abilità di Amazon sono state abusate negli attacchi informatici
L'anno scorso, Alexa è stato violato con successo. I ricercatori di sicurezza di Checkpoint hanno scoperto che specifici sottodomini Amazon / Alexa erano vulnerabili alla condivisione delle risorse tra le origini (CUORI) configurazione errata e Cross Site Scripting (XSS). È interessante notare che gli attacchi potrebbero anche manomettere le abilità aggiunte ad Alexa.
Le vulnerabilità avrebbero potuto consentire un utente malintenzionato per rimuovere o installare competenze sull'account Alexa mirato, accedere alla cronologia vocale e acquisire informazioni personali attraverso l'interazione con le abilità quando l'utente richiama la competenza installata.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: