Amazon Alexa

Checkpoint toont hoe hackers elementen kunnen verwijderen/installeren op Alexa-accounts.

Onderzoekers van Checkpoint hebben recent beveiligingslekken ontdekt in bepaalde subdomeinen van Amazon Alexa. De lekken zouden een hacker de kans geven om skills op de Alexa-account van het slachtoffer te verwijderen of te installeren en om toegang te krijgen tot de geschiedenis en de persoonlijke gegevens. Eén klik door het slachtoffer op een kwaadaardige link aangemaakt door de hacker en de steminteractie door het slachtoffer, waren voldoende om de aanval in te zetten.

Amazon Alexa

Met meer dan 200 miljoen verkochte exemplaren wereldwijd, kan de virtuele assistent Alexa spraakcommando’s uitvoeren, alarmen instellen, muziek afspelen en slimme apparaten in een domoticasysteem aansturen. Gebruikers kunnen de mogelijkheden van Alexa uitbreiden door zogenaamde ‘skills’ (stemgestuurde apps) te installeren. De persoonlijke informatie die in de Alexa-accounts van de gebruikers is opgeslagen en het gebruik van het apparaat als domoticacontroller maakt van de digitale assistent een aantrekkelijk doelwit voor hackers.

Onderzoekers van Check Point toonden aan hoe de kwetsbaarheden die ze in bepaalde Amazon/Alexa-subdomeinen vonden, kunnen worden misbruikt door een hacker. Die stuurt een kwaadaardige link naar een doelwit. De link lijkt van Amazon te komen en lijkt legitiem, maar als de gebruiker erop klikt, kan de hacker het volgende doen:

  • Toegang krijgen tot de persoonlijke informatie van het slachtoffer, zoals de geschiedenis van zijn bankgegevens, gebruikersnamen, telefoonnummers en zijn thuisadres
  • De stem(commando)geschiedenis van een slachtoffer met hun Alexa downloaden 
  • Ongemerkt vaardigheden (apps) op de account van de gebruiker installeren
  • De volledige lijst van apps op het gebruikersaccount bekijken
  • Een geïnstalleerde app ongemerkt verwijderen

Slimme sprekers en virtuele assistenten zijn al zo goed ingeburgerd dat je snel vergeet hoeveel persoonlijke data ze bijhouden en welke rol ze spelen bij de controle van andere slimme apparaten in onze huizen. Voor hackers zijn ze een open deur in het leven van mensen, waardoor ze toegang kunnen krijgen tot gegevens, gesprekken kunnen afluisteren of andere kwaadaardige acties kunnen uitvoeren zonder dat het slachtoffer zich daarvan bewust is“, aldus Oded Vanunu, Hoofd Product Vulnerabilities Research bij Check Point. 

Amazon heeft dit probleem snel na de melding door Check Point Research opgelost.

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here