De gebruikers van Amazon Alexa moeten zich bewust zijn van een nieuwe kwetsbaarheid in het proces voor het doorlichten van stemassistenten.
Kwetsbaarheden in het Alexa Skill Ecosystem
Door de mazen in de wet kunnen bedreigingsactoren een misleidende vaardigheid publiceren onder een willekeurige naam van de ontwikkelaar. Ze kunnen zelfs na goedkeuring wijzigingen in de backend-code aanbrengen om gebruikers te misleiden om gevoelige details te onthullen.
Het onderzoek werd uitgevoerd door een groep academici van de Ruhr-Universität Bochum en de North Carolina State University. Tijdens hun werk, analyseerden de onderzoekers 90,194 vaardigheden beschikbaar in zeven landen, zoals de VS., Brittannië, Australië, Canada, Duitsland, Japan, en Frankrijk. Hun bevindingen werden gepresenteerd tijdens het Network and Distributed System Security Symposium (NDSS) conferentie.
"Amazons spraakgestuurde assistent, Alexa, stelt gebruikers in staat om rechtstreeks te communiceren met verschillende webservices via dialogen in natuurlijke taal. Het biedt ontwikkelaars de mogelijkheid om applicaties van derden te maken (bekend als vaardigheden) om bovenop te rennen Alexa. Dergelijke applicaties vergemakkelijken de interactie van gebruikers met slimme apparaten en versterken een aantal aanvullende services, ze geven ook aanleiding tot bezorgdheid over veiligheid en privacy vanwege de persoonlijke omgeving waarin ze opereren,”Legt het onderzoekspaper uit.
Gezien de brede acceptatie van Alexa en het potentieel voor kwaadwillende actoren om vaardigheden te misbruiken, het doel van dit artikel is om een systematische analyse uit te voeren van het vaardigheidsecosysteem van Alexa en mogelijke mazen in de wet te identificeren die kunnen worden misbruikt door kwaadwillende actoren.
Het team maakt zich vooral zorgen over het feit dat gebruikers een verkeerde vaardigheid kunnen activeren, die tot kwaadaardige uitkomsten kunnen leiden, als de genoemde vaardigheid met dergelijke doeleinden is ontworpen. Bovendien, meerdere vaardigheden kunnen dezelfde aanroepzin gebruiken. De analyse kwam aan het licht 9,948 vaardigheden die dezelfde aanroep deelden met ten minste één andere vaardigheid. Alleen 36,055 skills gebruikten een unieke aanroepnaam, in het verslag staat.
Omdat de criteria van Amazon om een specifieke vaardigheid automatisch in te schakelen onder meerdere vaardigheden met dezelfde naam, niet bekend zijn, het activeren van de verkeerde vaardigheden is mogelijk. Wat is meer, dreigingsactoren zouden hun vaardigheden kunnen publiceren onder de namen van bekende bedrijven.
Deze kloof kan leiden tot phishing-aanvallen, zoals de onderzoekers het uitleggen:
Dit gebeurt voornamelijk omdat Amazon momenteel geen geautomatiseerde aanpak toepast om inbreuken op het gebruik van handelsmerken van derden op te sporen, en is afhankelijk van handmatige controle om dergelijke kwaadwillende pogingen op te sporen die vatbaar zijn voor menselijke fouten. Als gevolg hiervan kunnen gebruikers worden blootgesteld aan phishingaanvallen van een aanvaller.
Deze dreiging is vergelijkbaar met een techniek die bekend staat als versiebeheer, gebruikt om verificatiebeveiligingen te omzeilen. Versiebeheer betekent het indienen van een legitieme app bij een app store, en vervolgens geleidelijk vervangen door schadelijke functionaliteit via updates.
Als u geïnteresseerd bent in de volledige technische openbaarmaking van het onderzoek, je kunt het hele lezen Alexa Skill Ecosystem-rapport.
Niet de eerste keer dat Amazon-vaardigheden werden misbruikt bij cyberaanvallen
Vorig jaar, Alexa is met succes gehackt. Beveiligingsonderzoekers bij Checkpoint ontdekten dat specifieke Amazon / Alexa-subdomeinen kwetsbaar waren voor Cross-Origin Resource Sharing (HEARTS) verkeerde configuratie en cross-site scripting (XSS). Het is opmerkelijk dat de aanvallen ook kunnen knoeien met de vaardigheden die aan Alexa zijn toegevoegd.
De kwetsbaarheden hadden kunnen zijn toegestaan een aanvaller om vaardigheden op het beoogde Alexa-account te verwijderen of te installeren, toegang krijgen tot hun stemgeschiedenis en persoonlijke informatie verkrijgen via vaardigheidsinteractie wanneer de gebruiker de geïnstalleerde vaardigheid aanroept.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: