Tek tıklamayla: Amazon Alexa, ses geçmişinin çalınması, PII ve beceri tahrifatı için kullanılabilir

  • Oct 18, 2023

Servise ait alt alan adlarının CORS hataları barındırdığı ve XSS saldırılarına karşı savunmasız olduğu tespit edildi.

Amazon'un Alexa sesli asistanı, hizmetin alt alanlarındaki güvenlik açıkları nedeniyle kullanıcı verilerini aktarmak için kullanılabilir.

Güvenlik

  • Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
  • Telefonunuzdaki casus yazılımları bulma ve kaldırma
  • En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
  • Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?

Amazon Echo ve Echo Dot gibi cihazlarda 200 milyondan fazla kullanıcı tarafından kullanılan akıllı asistan dünya çapındaki gönderiler - kullanıcının kişisel olarak tanımlanabilir bilgilerini (PII) ve sesini arayan saldırganlara karşı savunmasızdı Kayıtlar.

Kontrol Noktası Araştırması perşembe günü söyledi Güvenlik sorunlarının, Kaynaklar Arası Kaynak Paylaşımı (CORS) yanlış yapılandırmasına ve siteler arası komut dosyası çalıştırma (XSS) saldırılarına duyarlı Amazon Alexa alt etki alanlarından kaynaklandığı belirtildi.

Check Point, Alexa mobil uygulamasını ilk kez incelemeye başladığında şirket, trafik denetimini engelleyen bir SSL mekanizmasının varlığını fark etti. Ancak kullanılan komut dosyası, Frida SSL evrensel sabitlemeyi kaldırma komut dosyası kullanılarak atlanabilir.

Ayrıca bakınız: Amazon'un 2. Çeyreği: COVID-19'a 4 milyar dolar harcandı ve hala net 5,2 milyar dolar

Bu, uygulamanın CORS politikasını yanlış yapılandırdığının keşfedilmesine yol açtı ve bu, Ajax isteklerinin Amazon alt etki alanlarından gönderilmesine izin verdi.

Bir alt alan adının kod enjeksiyonuna karşı savunmasız olduğu tespit edilirse bir XSS saldırısı başlatılabiliyordu ve bu, track.amazon.com ve skillstore.amazon.com aracılığıyla gerçekleştirildi.

Check Point'e göre, kurbanın güvenlik açıklarından yararlanabilmesi için yalnızca kötü amaçlı bir bağlantıya tıklaması yeterli. Örneğin kimlik avı yoluyla bir etki alanına yönlendirilen bir kurban, kod enjeksiyonuna ve Amazon ile ilgili çerezlerin çalınmasına maruz kalabilir.

Saldırgan daha sonra bu çerezleri kullanarak Amazon beceri mağazasına bir Ajax isteği gönderecek ve bu istek, kurbanın Amazon Alexa hesabında yüklü olan tüm becerilerin bir listesini geri gönderecektir.

Araştırmacılar, bir XSS saldırısı başlatarak CSRF belirteçlerini de ele geçirebildiler ve dolayısıyla kurban kılığına girerek eylemler gerçekleştirebildiler. Bu, Alexa becerilerinin kaldırılmasını veya kurulmasını ve bir beceriyi kaldırmak için CSRF belirtecinin kullanılmasını ve Ekip, daha sonra aynı çağrışım ifadesini içeren yeni bir tane yüklemek "saldırgan becerisini tetikleyebilir" diyor.

Bir kurbanın bu yeni beceriyi farkında olmadan tetiklemesi durumunda, saldırganların ses geçmişi kayıtlarına erişmesi ve kişisel bilgileri toplamak için beceri etkileşimlerini kötüye kullanması mümkün olabilir.

CNET: Çin, insan davranışını kontrol etmek için yüz tanımayı nasıl kullanıyor?

Testler sırasında Check Point, telefon numaralarının, ev adreslerinin, kullanıcı adlarının ve banka veri geçmişinin teorik olarak çalınabileceğini tespit etti.

"Amazon, bankacılık oturum açma bilgilerinizi kaydetmez, ancak etkileşimleriniz kaydedilir ve bunlara erişimimiz olduğundan Ekip, sohbet geçmişini kullanarak kurbanın banka becerisiyle olan etkileşimine erişebiliyor ve veri geçmişini alabiliyoruz" diyor. "Kullanıcının Alexa hesabında yüklü olan becerilere bağlı olarak kullanıcı adlarını ve telefon numaralarını da alabiliriz."

Ancak Alexa, bankacılık bilgilerini özellikle geçmişlerde ve günlüklerde düzenler.

Check Point ayrıca kavram kanıtı (PoC) kodu da sağladı.

Beceri istismarı ilginç bir saldırı şeklidir ve siber saldırganların evlerimize girmelerinin potansiyel bir yoludur; ancak kötü niyetli becerilerin tespit edilip kaldırılmasından önceki zaman aralığı kısa olabilir.

TechRepublic: Şirketler çalışanların bu yaz PTO'yu istiflemek yerine tatile çıkmasını nasıl sağlıyor?

Araştırmacılar, "Amazon'un beceri sertifikasyonunun bir parçası olarak güvenlik incelemeleri yaptığını ve canlı becerileri potansiyel olarak kötü niyetli davranışlara karşı sürekli olarak izlediğini unutmamak önemlidir" diyor. "Belirlenen rahatsız edici beceriler sertifikasyon sırasında engelleniyor veya hızla devre dışı bırakılıyor."

Check Point araştırmacıları bulgularını haziran ayında Amazon'a özel olarak açıkladılar ve güvenlik sorunları artık düzeltildi.

Check Point'in Ürün Güvenlik Açıkları Araştırması Başkanı Oded Vanunu, "Bu araştırmayı, bu cihazların güvenliğini sağlamanın kullanıcıların gizliliğini korumak açısından ne kadar kritik olduğunu vurgulamak için gerçekleştirdik" dedi. "Neyse ki Amazon, belirli Amazon/Alexa alt etki alanlarındaki bu güvenlik açıklarını kapatmak için açıklamamıza hızlı bir şekilde yanıt verdi. Benzer cihaz üreticilerinin Amazon örneğini takip edeceğini ve ürünlerini kullanıcıların gizliliğini tehlikeye atabilecek güvenlik açıklarına karşı kontrol edeceklerini umuyoruz."

Bir Amazon sözcüsü ZDNet'e şöyle konuştu: "Cihazlarımızın güvenliği birinci önceliktir ve potansiyel sorunları bize getiren Check Point gibi bağımsız araştırmacıların çalışmalarını takdir ediyoruz." "Bu sorunu dikkatimize sunulduktan hemen sonra düzelttik ve sistemlerimizi daha da güçlendirmeye devam ediyoruz. Bu güvenlik açığının müşterilerimize karşı kullanıldığına veya herhangi bir müşteri bilgisinin açığa çıktığına dair herhangi bir durumun farkında değiliz."

2020'nin en büyük hack'leri ve veri ihlalleri (şimdiye kadar)

Önceki ve ilgili kapsam

  • Yıkıcı Amazon, düşük kodlu pazara giriyor; hiçbir şeyi bozmaz
  • Bu E Ink prototipi, e-okuyucuların yakında katlanabilir akıllı telefon paketine katılabileceğini gösteriyor
  • Evden çalışmanın son noktası: Amazon mühendisleri garajlarında robotlar üretiyor

Bir ipucunuz var mı? WhatsApp aracılığıyla güvenli bir şekilde iletişime geçin | +447713 025 499 veya Keybase üzerinden sinyal: charlie0