Os usuários do Amazon Alexa devem estar cientes de uma nova vulnerabilidade no processo de verificação de habilidades do assistente de voz.
Vulnerabilidades no ecossistema de habilidades Alexa
As brechas podem permitir que os agentes da ameaça publiquem uma habilidade enganosa sob qualquer nome de desenvolvedor arbitrário. Eles podem até mesmo aplicar alterações no código de back-end após a aprovação para induzir os usuários a revelar detalhes confidenciais.
A pesquisa foi conduzida por um grupo de acadêmicos da Ruhr-Universität Bochum e da North Carolina State University. Durante o trabalho, os pesquisadores analisaram 90,194 habilidades disponíveis em sete países, como os EUA, o Reino Unido, Austrália, Canadá, Alemanha, Japão, e França. Suas descobertas foram apresentadas durante o Simpósio de Segurança de Sistemas Distribuídos e Redes (NDSS) conferência.
“Assistente baseado em voz da Amazon, Alexa, permite que os usuários interajam diretamente com vários serviços da web por meio de diálogos de linguagem natural. Ele fornece aos desenvolvedores a opção de criar aplicativos de terceiros (conhecido como habilidades) correr em cima de Alexa. Embora esses aplicativos facilitem a interação dos usuários com dispositivos inteligentes e reforcem uma série de serviços adicionais, eles também levantam questões de segurança e privacidade devido ao ambiente pessoal em que operam,”O artigo de pesquisa explica.
Dada a ampla adoção do Alexa e o potencial de agentes mal-intencionados de usarem as habilidades de maneira indevida, o objetivo deste artigo é realizar uma análise sistemática do ecossistema de habilidades Alexa e identificar potenciais lacunas que podem ser exploradas por agentes mal-intencionados.
A equipe está mais preocupada com o fato de que os usuários podem ativar uma habilidade errada, o que pode levar a resultados maliciosos, se a dita habilidade foi projetada com tais propósitos. além disso, habilidades múltiplas podem utilizar a mesma frase de invocação. A análise revelou 9,948 habilidades que compartilhavam a mesma invocação com pelo menos uma outra habilidade. Somente 36,055 habilidades usaram um nome de invocação único, diz o relatório.
Uma vez que os critérios da Amazon para habilitar automaticamente uma habilidade específica entre várias habilidades com o mesmo nome não são conhecidos, ativar as habilidades erradas é possível. O que é mais, atores de ameaças poderiam publicar habilidades usando nomes de empresas conhecidas.
Essa lacuna pode levar a ataques de phishing, como os pesquisadores explicam:
Isso acontece principalmente porque a Amazon atualmente não emprega nenhuma abordagem automatizada para detectar infrações pelo uso de marcas registradas de terceiros, e depende de verificação manual para detectar tais tentativas malévolas que são propensas a erro humano. Como resultado, os usuários podem ficar expostos a ataques de phishing lançados por um invasor.
Esta ameaça é semelhante a uma técnica conhecida como controle de versão, utilizado para contornar as proteções de verificação. Controle de versão significa enviar um aplicativo legítimo para uma loja de aplicativos, e, em seguida, substituindo-o gradualmente por funcionalidade maliciosa por meio de atualizações.
Se você estiver interessado na divulgação técnica completa da pesquisa, você pode ler o todo Relatório Alexa Skill Ecosystem.
Não é a primeira vez que as habilidades da Amazon foram abusadas em ataques cibernéticos
Ano passado, Alexa foi hackeada com sucesso. Os pesquisadores de segurança da Checkpoint descobriram que subdomínios específicos da Amazon / Alexa eram vulneráveis ao compartilhamento de recursos entre origens (CORAÇÕES) configuração incorreta e cross Site Scripting (XSS). Vale ressaltar que os ataques também podem interferir nas habilidades adicionadas ao Alexa.
As vulnerabilidades podem ter permitido um invasor para remover ou instalar habilidades na conta Alexa visada, acessar seu histórico de voz e adquirir informações pessoais por meio de interação de habilidade quando o usuário invoca a habilidade instalada.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: