Il braccio di Threat Intelligence di Check Point Software Technologies, fornitore leader di soluzioni di sicurezza informatica a livello globale, ha recentemente identificato vulnerabilità di sicurezza in alcuni sottodomini di Amazon/Alexa che avrebbero permesso a un hacker di rimuovere/installare competenze sull’account Alexa della vittima selezionata, accedere alla sua cronologia vocale e ai dati personali. L’attacco richiedeva solo un singolo click da parte dell’utente su un link dannoso creato dall’hacker e l’interazione vocale della vittima.
Con più di 200 milioni di dispositivi venduti in tutto il mondo, Alexa è in grado di interagire con la vostra voce, impostare promemoria, riprodurre musica e controllare dispositivi intelligenti in un sistema domotico. Gli utenti possono estendere le funzioni di Alexa installando le “skill”, che sono applicazioni guidate dalla voce. Tuttavia, le informazioni personali memorizzate negli account Alexa degli utenti e l’uso del dispositivo come controller di automazione domestica rende questi dispositivi un bersaglio molto attraente per gli hacker.
I ricercatori di Check Point hanno dimostrato come le vulnerabilità individuate in alcuni sottodomini di Amazon/Alexa possano essere sfruttate da un hacker che crea e invia ad un utente selezionato un link dannoso che sembra provenire da Amazon. Se l’utente clicca sul link, l’aggressore può:
- Accedere alle informazioni personali della vittima, come la cronologia dei dati bancari, i nomi utente, i numeri di telefono e l’indirizzo di casa
- Estrapolare la cronologia dei comandi vocali di una vittima
- Installare in modo silenzioso le competenze (app) sull’account Alexa di un utente
- Visualizza l’intera lista di competenze di un account utente Alexa
- Rimuovere silenziosamente una competenza installata
Amazon ha risolto questo problema subito dopo che è stato segnalato.