atualmente, mais que 200 milhões de dispositivos com Alexa estão sendo usados em todo o mundo. O assistente virtual inteligente da Amazon está ocupando posições de destaque na maioria dos mercados.
Nos E.U.A. sozinho, uma análise preditiva eMarketer para 2021 mostra que 70% de todos os proprietários de alto-falantes inteligentes continuarão a usar Alexa.
Capaz de interação por voz, playblack de música, e realizar outras tarefas simples, As habilidades de Alexa agora podem ser estendidas com funcionalidades adicionais desenvolvidas por fornecedores terceirizados. Essas habilidades podem ser percebidas como aplicações, como programas meteorológicos e recursos de áudio.
Vulnerabilidades no Alexa da Amazon
Infelizmente, pesquisadores de segurança da Checkpoint descobriram recentemente que subdomínios específicos da Amazon / Alexa eram vulneráveis ao compartilhamento de recursos entre origens (CORAÇÕES) configuração incorreta e cross Site Scripting (XSS). “Usando o XSS, conseguimos obter o token CSRF e realizar ações em nome da vítima,” a equipe disse em seu relatório. Os ataques recém-descobertos também podem interferir nas habilidades adicionadas a Alexa.
As vulnerabilidades podem ter permitido que um invasor remova ou instale habilidades no alvo Alexa conta, acessar seu histórico de voz e adquirir informações pessoais por meio de interação de habilidade quando o usuário invoca a habilidade instalada, os pesquisadores disseram.
O que essas vulnerabilidades permitem que um ataque faça?
-Instalar habilidades silenciosamente (Aplicativos) na conta Alexa de um usuário
-Obtenha uma lista de todas as habilidades instaladas na conta Alexa do usuário
-Remova silenciosamente uma habilidade instalada
-Obtenha o histórico de voz da vítima com sua Alexa
-Obtenha as informações pessoais da vítima
Como visto em um número predominante de ataques maliciosos, tudo o que é necessário para que a exploração seja iniciada é apenas um clique em um link da Amazon especialmente criado. A boa notícia é que os exploits já foram corrigidos, após o relatório da Checkpoint em junho 2020.
Quão seguro é o Amazon Echo?
Em agosto 2017, Pesquisadores do MWR Labs foram capazes de demonstrar código de prova de conceito com o dispositivo Amazon Echo. A equipe conseguiu mostrar como um malware potencial do Amazon Echo pode ser usado para espionar usuários e realizar ações maliciosas. Isso foi possível devido a uma implementação de hardware insegura, permitindo o acesso por meio de painéis de depuração expostos. Isso pode permitir que o dispositivo seja inicializado a partir de dispositivos de armazenamento externos.