Descobertas vulnerabilidades em subdomínios Alexa da Amazon

A Check Point Research identificou vulnerabilidades de segurança em certos subdomínios da Alexa, da Amazon que permitiriam aos hackers remover e adicionar funcionalidades nas contas Alexa das vítimas, aceder ao seu histórico de voz e a outras informações pessoais. O ataque requeria um único clique do utilizador num link malicioso criado pelo hacker, acompanhado por uma interação aleatória por voz da vítima. 

Com mais de 200 milhões de dispositivos vendidos a nível global, a Alexa é capaz de interagir por voz, definir alarmes, reproduzir música e controlar dispositivos inteligentes de um sistema doméstico de automação. Além disso, os utilizadores podem ainda adicionar ‘skills', apps dirigidas por voz. A informação pessoal que as contas de utilizadores da Alexa armazenam, bem como a possibilidade de utilizar o aparelho como controlo de automação doméstica, transforma as mesmas em alvos apetecíveis para hackers.

Os investigadores da Check Point demonstraram como as vulnerabilidades encontradas em certos subdomínios da Amazon/Alexa poderiam ser utilizados por hackers que desenvolvessem e enviassem links maliciosos, aparentemente provindos da Amazon.

Ao clicar no link, o hacker passava a ter acesso à informação pessoal da vítima, como histórico de dados bancários, nomes de utilizadores, números de telemóvel e morada, extrair o histórico de voz com a Alexa, instalar silenciosamente ‘skills’, aceder à lista de ‘skills’ e remover as ‘skills’ já instaladas.

“Smart speakers e assistentes virtuais já estão tão generalizados que é fácil esquecermo-nos da quantidade de informação pessoal que eles guardam, e o seu papel em controlar outros dispositivos inteligentes das nossas casas. Mas os hackers vêm estes aparelhos como portas de entrada para a vida das pessoas, já que permitem aceder a dados, espiar conversas ou outras atividades maliciosas sem o utilizador ter conhecimento”, afirma Oded Vanunu, Head of Products Vulnerabilities Research na Check Point. “Conduzimos esta investigação para reforçar o quão importante é garantir a segurança destes dispositivos para manter a privacidade dos seus utilizadores. Felizmente, a Amazon respondeu rapidamente à nossa divulgação, no sentido de eliminar estas vulnerabilidades em certos subdomínios da Amazon/Alexa. Esperemos que os fabricantes de dispositivos semelhantes sigam o exemplo da Amazon e verifiquem as vulnerabilidades dos seus produtos que possam eventualmente comprometer a privacidade dos seus utilizadores. Já realizámos pesquisas no TikTok, WhatsApp e no Fortnite. A Alexa já nos preocupa há algum tempo, devido à sua ubiquidade e conexão a dispositivos IoT. São estas mega plataformas que podem causar os maiores danos. Os seus níveis de segurança são importantíssimos”, conclui Vanunu.