Vulnerabilità per Amazon Alexa (già risolta): avrebbe potuto consentire l'accesso a dati sensibili

Vulnerabilità per Amazon Alexa (già risolta): avrebbe potuto consentire l'accesso a dati sensibili

La falla è stata notificata lo scorso mese di giugno e già risolta: avrebbe però potuto consentire l'accesso ad informazioni private mettendo a rischio la privacy dell'utente

di pubblicata il , alle 15:21 nel canale Sicurezza
AmazonAlexa
 

I ricercatori di sicurezza di Check Point affermano di aver individuato una vulnerabilità nell'assistente vocale Amazon Alexa che avrebbe potuto consentire l'accesso ad informazioni personali dell'utente, alle cronologie vocali e agli accunt Amazon. All'interno di un post sul blog ufficiale della società, i ricercatori Check Point hanno descritto un modo in cui la vulnerabilità può essere stata sfruttata, partendo da un link che conduce ad una pagina web con funzioni di code-injection.

La vulnerabilità è stata individuata conducendo test con l'app complementare Alexa per smartphone. Con l'uso di uno script atto ad aggirare un meccanismo che impediva ai ricercatori di monitorare più attentamente il traffico di rete, hanno scoperto che diverse richieste effettuate dall'app avevano una regola non configurata correttamente e che permetteva l'invio di richiesta da qualsiasi sottodominio Amazon. Questo avrebbe potuto, potenzialmente, portare dei malintenzionati a integrare delle funzionalità di code-injection in un sottodominio per eseeguire un attacco cross-domain su un altro sottodominio Amazon.

Nell'esempio dimostrativo realizzato da Check Point la falla è stata sfruttata per uno dei sottodomini di Amazon per far leva sui cookie e sulle regole non correttamente configurate così da apportare modifiche agli account Alexa. I ricercatori hanno creato un link che ha portato la vittima-fantoccio verso track.amazon.com, dal quale i ricercatori hanno potuto inviare richieste contenenti i coockie della vittima ad un URL che ha restituito un elenco di voice app installate sull'account Alexa della vittima. A questo punto è stato usato un token per rimuovere un'app dall'elenco e sostituirla con una dannosa che venisse attivata dalla stessa frase di invocazione dell'app cancellata.

Con questa tecnica i ricercatori sono riusciti, oltre ad ottenere l'elenco di app e sostituire arbitrariamente quelle legittime con altre dannose, ad accedere alla cronologia vocale dell'account Aexa della vittima: questo può potenzialmente esporre dati personali come nomi utente, numeri di telefono e altro, a seconda delle app vocali installate. Non solo, è stato possibile individuare anche altre informazioni personali memorizzate nei profili degli utenti.

La vulnerabilità è stata notificata privatamente ad Amazon nel corso del mese di giugno ed è stata immediatamente risolta. I ricercatori di Check Point osservano comunque che si tratta, in linea generale, di un problema che mette in luce i punti deboli degli assistenti vocali che per poter operare al pieno delle loro potenzialità devono poter accedere a dati e informazioni privati. "Gli assistenti virtuali vengono utilizzati nelle case intelligenti per controllare i dispositivi IoT di tutti i giorni come luci, condizionatori, aspirapolveri, interruttori e dispositivi di intrattenimento. Nell'ultimo decennio la loro popolarità è cresciuta e sono diventati parte della vita quotidiana, e l'evoluzione tecnologica li porterà ad essere ancor più pervasivi. Oggi gli assistenti virtuali sono punti di accesso ad elettrodomestici e dispositivi di controllo, e la protezione di questi punti d'accesso è diventata fondamentale, con la massima priorità per la privacy dell'utente" scrivono i ricercatori.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^