2020-8-18

SECURITY

Descobertas vulnerabilidades em subdomínios Alexa da Amazon

Investigadores demonstraram como é que hackers poderiam remover ou adicionar funcionalidades nas contas Alexa das vítimas, para além de aceder ao histórico de voz e a informações pessoais

Descobertas vulnerabilidades em subdomínios Alexa da Amazon

A Check Point Research identificou vulnerabilidades de segurança em certos subdomínios da Alexa, da Amazon que permitiriam aos hackers remover e adicionar funcionalidades nas contas Alexa das vítimas, aceder ao seu histórico de voz e a outras informações pessoais. O ataque requeria um único clique do utilizador num link malicioso criado pelo hacker, acompanhado por uma interação aleatória por voz da vítima. 

Com mais de 200 milhões de dispositivos vendidos a nível global, a Alexa é capaz de interagir por voz, definir alarmes, reproduzir música e controlar dispositivos inteligentes de um sistema doméstico de automação. Além disso, os utilizadores podem ainda adicionar ‘skills', apps dirigidas por voz. A informação pessoal que as contas de utilizadores da Alexa armazenam, bem como a possibilidade de utilizar o aparelho como controlo de automação doméstica, transforma as mesmas em alvos apetecíveis para hackers.

Os investigadores da Check Point demonstraram como as vulnerabilidades encontradas em certos subdomínios da Amazon/Alexa poderiam ser utilizados por hackers que desenvolvessem e enviassem links maliciosos, aparentemente provindos da Amazon.

Ao clicar no link, o hacker passava a ter acesso à informação pessoal da vítima, como histórico de dados bancários, nomes de utilizadores, números de telemóvel e morada, extrair o histórico de voz com a Alexa, instalar silenciosamente ‘skills’, aceder à lista de ‘skills’ e remover as ‘skills’ já instaladas.

Smart speakers e assistentes virtuais já estão tão generalizados que é fácil esquecermo-nos da quantidade de informação pessoal que eles guardam, e o seu papel em controlar outros dispositivos inteligentes das nossas casas. Mas os hackers vêm estes aparelhos como portas de entrada para a vida das pessoas, já que permitem aceder a dados, espiar conversas ou outras atividades maliciosas sem o utilizador ter conhecimento”, afirma Oded Vanunu, Head of Products Vulnerabilities Research na Check Point. “Conduzimos esta investigação para reforçar o quão importante é garantir a segurança destes dispositivos para manter a privacidade dos seus utilizadores. Felizmente, a Amazon respondeu rapidamente à nossa divulgação, no sentido de eliminar estas vulnerabilidades em certos subdomínios da Amazon/Alexa. Esperemos que os fabricantes de dispositivos semelhantes sigam o exemplo da Amazon e verifiquem as vulnerabilidades dos seus produtos que possam eventualmente comprometer a privacidade dos seus utilizadores. Já realizámos pesquisas no TikTok, WhatsApp e no Fortnite. A Alexa já nos preocupa há algum tempo, devido à sua ubiquidade e conexão a dispositivos IoT. São estas mega plataformas que podem causar os maiores danos. Os seus níveis de segurança são importantíssimos”, conclui Vanunu.

ARTIGOS RELACIONADOS

Investimento em cibersegurança vai crescer 6%
SECURITY

Investimento em cibersegurança vai crescer 6%

LER MAIS

Investimentos em cibersegurança impulsionados por trabalho remoto
SECURITY

Investimentos em cibersegurança impulsionados por trabalho remoto

LER MAIS

Canalys distingue os principais fornecedores de cibersegurança
SECURITY

Canalys distingue os principais fornecedores de cibersegurança

LER MAIS

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.