Posté le août 22, 2020 à 19:25
LES HACKERS PEUVENT UTILISER ALEXA POUR VOLER LES DONNÉES PERSONNELLES DES UTILISATEURS
Alexa d’Amazon est un produit incroyablement utile, et, pour beaucoup de gens, un assistant numérique irremplaçable. Cependant, il a connu son lot de vulnérabilités et de problèmes au fil des ans, et à en juger par le récent rapport publié par les chercheurs en sécurité de Check Point, les problèmes sont encore loin d’être résolus.
La vulnérabilité d’Alexa met en danger les informations sensibles des utilisateurs
Selon un récent rapport de Check Point, Amazon Alexa semble présenter une vulnérabilité qui pourrait permettre aux hackers d’accéder sans restriction à l’intégralité de l’historique vocal du produit.
De plus, ils pourraient également mettre la main sur les données personnelles des utilisateurs, les informations sur leurs comptes bancaires, et même les utiliser pour cliquer sur des liens Amazon malveillants.
De cette façon, l’attaquant se ferait passer pour l’utilisateur et aurait accès à la liste des compétences Alexa de l’utilisateur. À partir de ce moment, Alexa serait un livre ouvert pour l’attaquant, tandis que les informations sensibles de l’utilisateur pourraient être irréversiblement compromises.
Comment cela se passe-t-il ?
Le rapport a révélé que la vulnérabilité provenait d’une mauvaise configuration du système CORS (Cross-Origin Resource Sharing). En conséquence, des attaques de Cross-Site Scripting sur les domaines d’Alexa sont devenues possibles. Cela signifie que les hackers pourraient utiliser des domaines Amazon vulnérables pour envoyer des requêtes Ajax à Alexa, et recevoir des jetons CSRF, qui leur permettraient de se faire passer pour des utilisateurs et d’exploiter le système.
En outre, les chercheurs ont également découvert un moyen pour éviter les contrôles de trafic grâce à une fonction SSL.
En substance, tout ce que les attaquants doivent faire est de créer un lien Amazon malveillant vers lequel ils redirigeraient les utilisateurs, et leur accès à l’historique des voix d’Alexa sera assuré.
À partir de là, ils pourraient accéder au nom d’utilisateur, à l’adresse et au numéro de téléphone de la victime, et même à ses données bancaires, comme mentionné.
De plus, avec l’accès aux compétences d’Alexa, les hackers pourraient même ajouter une fonctionnalité malveillante, ou supprimer certaines fonctionnalités que l’utilisateur a installées. Dès que l’utilisateur active la fonctionnalité malveillante, les hackers obtiennent un accès complet à leur compte.
La situation est encore pire du fait que beaucoup de gens ont tendance à utiliser Alexa pour diverses tâches quotidiennes, sans vraiment avoir une bonne compréhension de la sécurité. Ainsi, ils peuvent confier la sécurité de toute leur maison intelligente à Alexa, ce qui ferait du hacker le responsable de tous les autres appareils intelligents de la maison.
Amazon affirme que la vulnérabilité n’a pas été utilisée
Après avoir découvert la vulnérabilité, Check Point a contacté Amazon et a informé la société du problème. L’entreprise a remercié les chercheurs pour leurs efforts, mais elle a nié que les hackers puissent accéder à l’historique des données bancaires. Elle a noté que ces données étaient toujours éditées dans les réponses d’Alexa.
Pendant ce temps, Amazon a également corrigé la vulnérabilité, affirmant qu’elle n’avait jamais été utilisée dans la nature. En d’autres termes, les hackers ne l’ont pas découvert avant Check Point, ce qui a donné à l’entreprise suffisamment de temps pour traiter le problème et empêcher qu’il ne se produise jamais.
Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits de Check Point, a expliqué qu’Amazon n’avait pas détecté la faille par lui-même en raison de la nature multicouche de la vulnérabilité. Il a également fait l’éloge de la société pour sa rapidité d’intervention et pour le correctif qui a permis de corriger la vulnérabilité dans plus de 200 millions d’appareils Alexa.
Enfin, M. Vanunu a noté qu’Alexa ne supprime jamais l’historique des voix des utilisateurs. C’est quelque chose qui met l’utilisateur en danger, et Check Point estime que les utilisateurs devraient régulièrement effectuer cette tâche manuellement. Le processus est assez simple, et tout ce que les utilisateurs doivent faire est d’ouvrir l’application Alexa et d’aller dans Paramètres, puis dans Historique. À partir de là, ils peuvent sélectionner des entrées vocales individuelles, sélectionner et supprimer plusieurs entrées à la fois, ou supprimer complètement l’historique vocal.