Onderzoekers van Check Point Software Technologies (NASDAQ: CHKP), leverancier van cyberbeveiligingsoplossingen, hebben recent beveiligingslekken ontdekt in bepaalde subdomeinen van Amazon/Alexa.
De lekken zouden een hacker de kans geven om skills op de Alexa-account van het slachtoffer te verwijderen of te installeren en om toegang te krijgen tot de geschiedenis en de persoonlijke gegevens. Eén klik door het slachtoffer op een kwaadaardige link aangemaakt door de hacker en de steminteractie door het slachtoffer, waren voldoende om de aanval in te zetten.
Met meer dan 200 miljoen verkochte exemplaren wereldwijd, kan de virtuele assistent Alexa spraakcommando’s uitvoeren, alarmen instellen, muziek afspelen en slimme apparaten in een domoticasysteem aansturen.
Gebruikers kunnen de mogelijkheden van Alexa uitbreiden door zogenaamde ‘skills’ (stemgestuurde apps) te installeren. De persoonlijke informatie die in de Alexa-accounts van de gebruikers is opgeslagen en het gebruik van het apparaat als domoticacontroller maakt van Alexa een aantrekkelijk doelwit voor hackers.
Onderzoekers van Check Point toonden aan hoe de kwetsbaarheden die ze in bepaalde Amazon/Alexa-subdomeinen vonden, kunnen worden misbruikt door een hacker. Die stuurt een kwaadaardige link naar een doelwit. De link lijkt van Amazon te komen en lijkt legitiem, maar als de gebruiker erop klikt, kan de hacker het volgende doen:
Toegang krijgen tot de persoonlijke informatie van het slachtoffer, zoals de geschiedenis van zijn banktransacties, gebruikersnamen, telefoonnummers en thuisadres De stem(commando)geschiedenis van een slachtoffer met hun Alexa downloaden Ongemerkt vaardigheden (apps) op de Alexa-account van de gebruiker installeren De volledige lijst van apps op een Alexa gebruikersaccount bekijken Een geïnstalleerde app ongemerkt verwijderen
“Slimme spraak- en virtuele assistenten zijn al zo goed ingeburgerd dat je snel vergeet hoeveel persoonlijke data ze bijhouden en welke rol ze spelen bij de controle van andere slimme apparaten in onze huizen. Voor hackers zijn ze een open deur in het leven van mensen, waardoor ze toegang kunnen krijgen tot gegevens, gesprekken kunnen afluisteren of andere kwaadaardige acties kunnen uitvoeren zonder dat het slachtoffer zich daarvan bewust is”, aldus Oded Vanunu, Hoofd Product Vulnerabilities Research bij Check Point. “We hebben dit onderzoek uitgevoerd om te benadrukken hoe belangrijk het is om deze apparaten goed te beveiligen om zo de privacy van gebruikers te beschermen. Gelukkig heeft Amazon snel gereageerd op onze bevindingen om deze kwetsbaarheden op bepaalde subdomeinen van Amazon/Alexa af te sluiten. We hopen dat fabrikanten van soortgelijke apparaten het goede voorbeeld van Amazon volgen en hun spraakgestuurde producten controleren op kwetsbaarheden die de privacy van gebruikers in gevaar kunnen brengen. Eerder hebben we onderzoek gedaan naar Tiktok, WhatsApp en Fortnite. We volgden Alexa al een tijdje met argusogen, gezien de alomtegenwoordigheid en de verbinding met IoT-apparaten. Het zijn dit soort grote digitale platformen die ons het meest kunnen schaden. Daarom is een hoog niveau van beveiliging van cruciaal belang.”
Amazon heeft dit probleem snel na de melding door Check Point Research opgelost.
