Especialistas em segurança digital descobriram uma vulnerabilidade na plataforma do assistente de voz Amazon Alexa. Ao usá-lo, os hackers podem obter acesso a informações pessoais de usuários, por exemplo, dados de uma conta da Amazon, bem como o histórico de solicitações de voz de um usuário, dizem os especialistas da Check Point Research.
Os pesquisadores identificaram essa vulnerabilidade em testes realizados com o aplicativo móvel Alexa. Eles usaram um script especial para contornar o mecanismo de proteção que sai do aplicativo e, em seguida, visualizá-lo em texto simples. A equipe descobriu que várias solicitações feitas pelo aplicativo a um servidor Amazon remoto estavam usando uma política de privacidade configurada incorretamente. Em teoria, essa falha torna possível contornar a proteção e enviar uma solicitação de transferência de dados de um servidor pertencente aos invasores.
Na prática, um invasor pode convencer uma vítima desavisada a clicar em um link da web que supostamente o direciona para a Amazon, mas na verdade é projetado para infectar o dispositivo móvel de um usuário. Assim que o usuário clicar no link, os hackers poderão visualizar uma lista de aplicativos instalados e habilidades do assistente de voz Alexa, e instalar e ativar novas habilidades do assistente digital. Mas o mais importante, os invasores podem obter acesso ao histórico de solicitações de voz, bem como aos dados pessoais do usuário da conta Alexa.
«Alto-falantes inteligentes e assistentes virtuais que controlam casas modernas e dispositivos inteligentes são tão comuns hoje que as pessoas nem prestam atenção à quantidade de informações pessoais que essas tecnologias podem armazenar sobre eles. No entanto, os hackers podem usá-los como pontos de entrada em sua privacidade, obtendo acesso às informações pessoais dos usuários, espionando suas conversas e fazendo muito mais que as pessoas nem sabem ”, comentou Oded Vanunu, chefe de pesquisa da Check Point Research. )
Ele também acrescentou que eles contataram a Amazon e relataram a vulnerabilidade da plataforma Alexa em junho. A empresa reagiu rapidamente à situação e corrigiu a falha de segurança.
«Conduzimos este estudo para mostrar a importância da segurança desses dispositivos para reter os dados pessoais do usuário. Felizmente, a Amazon respondeu rapidamente ao nosso relatório e resolveu o problema de segurança para alguns subdomínios da Amazon e Alexa ”, concluiu Vanunu.
Segundo nota da amazon:
“A segurança de nossos dispositivos é prioridade e agradecemos o trabalho de pesquisadores independentes como a Check Point, que nos trazem questões como essa. Corrigimos esse problema assim que tivemos conhecimento e continuamos a fortalecer ainda mais nossos sistemas. Não temos conhecimento de nenhum caso desta vulnerabilidade sendo usada contra nossos clientes ou de qualquer informação do cliente sendo exposta”. – Amazon