Publicidade - OTZAds
tecnologia

Pesquisadores infectaram sites da Amazon para hackear Alexa

Escrito por virvida

E se, quando você pedisse a Alexa para ler a previsão do tempo, ela ativasse câmeras e enviasse um fluxo de imagem para o exterior?

Com apenas um clique da vítima em um link da Amazon, os pesquisadores da Check Point conseguiram hackear contas Alexa. Assim que o ataque fosse bem-sucedido, eles poderiam:

Publicidade - OTZAds

Roubar informações armazenadas na conta do usuário. Por exemplo, eles tinham acesso ao histórico de dados bancários, ao nome de usuário, ao número de telefone ou ao endereço residencial. Os hackers podem revender esses dados ou explorá-los para lançar outros ataques.
Adicionar e remover ” habilidades ” de Alexa . As “habilidades” são comandos que permitem acionar todos os tipos de ações como ” diga-me o tempo “. Centenas podem ser baixadas do site da Amazon, e qualquer pessoa pode enviar um. Um hacker pode, portanto, baixar uma “habilidade” maliciosa que ele mesmo desenvolveu.
Acesse o histórico de comandos de voz. Graças a essas informações, o hacker saberá como sua vítima usa seu assistente de voz. Se ele costuma dizer “Alexa, apague as luzes”, o hacker pode atribuir uma “habilidade” maliciosa a esse comando.

Com sua manipulação, os pesquisadores podiam adicionar e remover as habilidades de Alexa como desejassem e em segundo plano.

// Fonte: captura de tela da Amazon

Publicidade - OTZAds

Resumindo, graças a uma vulnerabilidade e a um clique do usuário, a Check Point descobriu o que configurar dezenas de cenários de ataque, de espionagem a roubo de dados por meio de manobras de chantagem. É preciso dizer que mais de 200 milhões de dispositivos respondem aos comandos do assistente de voz da Amazon e que a empresa tomou medidas para expandir ainda mais o número de dispositivos compatíveis.

Notificada pelo Check Point, a Amazon rapidamente corrigiu o bug, então agora é impossível reproduzir o ataque.

DA INJEÇÃO DE CÓDIGO AO ACIONAMENTO DE APLICATIVOS MALICIOSOS
Na origem do ataque está uma vulnerabilidade nos subdomínios da Amazon (endereços em amazon.com): eles permitiram que estranhos modificassem as páginas injetando código HTLM. Foi o que os pesquisadores fizeram, o que lhes permitiu transformar certas páginas em uma ferramenta maliciosa.

Para continuar com seu cenário de ataque, a equipe da Check Point teve que forçar os usuários a visitar esta página: eles configuraram um e-mail de phishing. Não é complicado ser convincente, pois os usuários estão acostumados a receber e-mails promocionais da Amazon. E como o link de phishing redireciona para uma página da Amazon, ele contornaria os filtros de spam, e o alvo do ataque tem poucos motivos para suspeitar.

DOIS IDENTIFICADORES ESSENCIAIS SÃO ROUBADOS

Publicidade - OTZAds

Exceto que ao clicar no link, a armadilha se fecha sobre ela. “ Depois que a vítima acionou o ataque, podemos apreender o token de sua sessão e o token CSRF ”, especifica Cyberwar Oded Vanunu, chefe de pesquisa sobre vulnerabilidades de produtos na Check Point. Esses são dois identificadores exclusivos, que os pesquisadores usarão para representar o usuário dos servidores da Amazon. Com essas informações, eles poderão realizar todo tipo de ações a partir da conta do usuário. “ Uma vez que controlamos Alexa, é como controlar um computador e podemos operar em segundo plano ”, acrescenta Oded Vanunu.

UM ATAQUE, DEZENAS DE CENÁRIOS MALICIOSOS
O ataque agora está implantado, qualquer pirata apenas tem que deixar sua imaginação falar. Já que eles têm acesso ao histórico de comandos do Alexa, podem desenvolver uma falsa “habilidade” que irá baixar um aplicativo malicioso ou ativar uma câmera quando o usuário perguntar sobre o tempo.

“ Por exemplo, podemos baixar uma ‘habilidade’ que aciona uma câmera quando o usuário pergunta sobre o tempo ”, projeta o gerente. O hacking inicial, portanto, abriu a porta para dezenas de cenários de ataque. Desta vez, foram os pesquisadores benevolentes que descobriram a falha primeiro. Da próxima vez, podem ser bandidos. Portanto, é melhor monitorar regularmente a atividade de sua conta e dispositivos para usuários Alexa e, de forma mais geral, assistentes conectados.

Sobre o autor

virvida

Deixe um Comentário