В устройствах с виртуальным ассистентом Alexa обнаружили серьезную уязвимость, которая могла стать причиной утечки конфиденциальной информации. Amazon уже исправила ошибку, но эта история в очередной раз напомнила, что слишком откровенничать с умными колонками все же не стоит.
Результаты, опубликованные охранной фирмой Check Point, показывают, что в веб-сервисах Alexa есть ошибки, которые хакеры могут использовать, чтобы заполучить всю историю голосового общения пользователя с ассистентом. Таким образом злоумышленники могут узнать информацию профиля, включая домашний адрес, а также получить доступ ко всем приложениям и «навыкам» ассистента. Брешь в безопасности была настолько велика, что хакер мог удалить уже существующий навык ИИ и установить другой, вредоносный, чтобы украсть еще больше данных.
«Когда вы разговариваете с виртуальным помощником, то не думаете о каких-то возможных проблемах, — говорит Одед Вануну (Oded Vanunu), руководитель отдела исследований уязвимости продуктов Check Point. — Но мы обнаружили цепочку уязвимостей в конфигурации инфраструктуры Alexa, которая в конечном итоге позволяет злоумышленнику собирать информацию о пользователях и даже устанавливать новые навыки».
Чтобы злоумышленник мог воспользоваться уязвимостями, ему сначала нужно было заставить пользователя перейти по вредоносной ссылке — это достаточно распространенный сценарий атаки. Однако основные недостатки некоторых поддоменов Amazon и Alexa привели к тому, что злоумышленник мог создать подлинную и нормально выглядящую ссылку Amazon, чтобы заманить жертву в незащищенные части инфраструктуры компании.
Например, направляя пользователей на track.amazon.com — уязвимую страницу, не связанную с Alexa, но используемую для отслеживания посылок Amazon, — злоумышленник мог внедрить код, который позволял ему перейти к инфраструктуре Alexa, отправив специальный запрос вместе с целевыми файлами cookie со страницы отслеживания посылок. На этом этапе платформа ошибочно принимает злоумышленника за законного пользователя, и хакер может получить доступ к полной истории аудио жертвы, списку установленных навыков и другим сведениям об учетной записи.
Check Point также предполагает, что хакер мог получить доступ к истории банковских данных с помощью атаки, но Amazon отрицает это, заявляя, что подобная информация удаляется в ответах Alexa.
«Безопасность наших устройств является главным приоритетом, и мы ценим работу независимых исследователей, таких как Check Point, которые сообщают нам о потенциальных проблемах, — заявил представитель Amazon. — Мы устранили эту проблему вскоре после того, как она была доведена до нашего сведения, и продолжаем совершенствовать наши системы. Нам не известно ни о каких случаях использования этой уязвимости против наших клиентов или раскрытия какой-либо информации о клиентах». Вануну из Check Point говорит, что атака, которую нашли он и его коллеги, была изящной и хитрой, и неудивительно, что Amazon не обнаружила ее самостоятельно, учитывая масштаб платформ компании.
Но полученные данные служат ценным напоминанием для пользователей о том, что они должны подумать о данных, которые хранят в своих учетных записях в Интернете. Хотя вы не можете контролировать безопасность голосовых ассистентов, вы можете минимизировать объем данных в своих аккаунтах. Например, мы рекомендуем периодически удалять историю запросов в настройках голосовых помощников, и неважно, говорят ваши умные колонки по-русски или нет.