A Check Point Research, a área de Threat Intelligence da Check Point® Software Technologies Ltd.  fornecedor líder global de soluções de cibersegurança, identificou recentemente vulnerabilidades de segurança em certos subdomínios do produto da Amazon, Alexa, que permitiriam aos hackers remover/adicionar funcionalidades nas contas Alexa das vítimas, aceder ao seu histórico de voz e a outras informações pessoais. O ataque requeria um único clique do utilizador num link malicioso criado pelo hacker, acompanhado por uma qualquer interação por voz da vítima.

Com mais de 200 milhões de dispositivos vendidos a nível global, a Alexa é capaz de interagir por voz, definir alarmes, reproduzir música e controlar dispositivos inteligentes de um sistema doméstico de automação. Além disso, os utilizadores podem ainda adicionar ‘skills', apps dirigidas por voz. A informação pessoal que as contas de utilizadores da Alexa armazenam, bem como a possibilidade de utilizar o aparelho como controlo de automação doméstica, transforma as mesmas em alvos apetecíveis para hackers. 

Os investigadores da Check Point demonstraram como as vulnerabilidades encontradas em certos subdomínios da Amazon/Alexa poderiam ser utilizados por hackers que desenvolvessem e enviassem links maliciosos, aparentemente provindos da Amazon. Ao clicar no link, o utilizador permitiria o hacker fazer o seguinte:

  • Aceder à informação pessoal da vítima, como histórico de dados bancários, nomes de utilizador, números de telemóvel e morada;
  • Extrair o histórico de voz com a Alexa;
  • Instalar silenciosamente ‘skills’ em contas Alexa das vítimas;
  • Aceder à lista de ‘skills’ da conta Alexa de um utilizador;
  • Remover ‘skills’ instaladas.

Smart speakers e assistentes virtuais já estão tão generalizados que é fácil esquecermo-nos da quantidade de informação pessoal que eles guardam, e o seu papel em controlar outros dispositivos inteligentes das nossas casas. Mas os hackers vêm estes aparelhos como portas de entrada para a vida das pessoas, já que permitem aceder a dados, espiar conversas ou outras atividades maliciosas sem o utilizador ter conhecimento,” afirma Oded Vanunu, Head of Products Vulnerabilities Research na Check Point. “Nós conduzimos esta pesquisa para reforçar o quão importante é garantir a segurança destes dispositivos para manter a privacidade dos seus utilizadores. Felizmente, a Amazon respondeu rapidamente à nossa divulgação, no sentido de eliminar estas vulnerabilidades em certos subdomínios da Amazon/Alexa. Esperemos que os fabricantes de dispositivos semelhantes sigam o exemplo da Amazon e verifiquem as vulnerabilidades dos seus produtos que possam eventualmente comprometer a privacidade dos seus utilizadores. Já realizamos pesquisas no TikTok, WhatsApp e no Fortnite. A Alexa já nos preocupa há algum tempo, devido à sua ubiquidade e conexão a dispositivos IoT. São estas mega plataformas que podem causar os maiores danos. Os seus níveis de segurança são importantíssimos”, conclui Vanunu.

Neste sentido, os investigadores da Check Point dão algumas dicas de segurança:

  1. Evite o download de aplicações desconhecidas;
  2. Pense duas vezes antes de partilhar: tenha em atenção a informação que partilha com o dispositivo, sobretudo se se tratar de informação sensível (como credenciais bancárias, palavras-passe, etc.);
  3. Leia a informação acerca das apps que pretende descarregar: é importante destacar que hoje em dia quase qualquer pessoa pode criar uma aplicação para este tipo de assistentes virtuais. É, portanto, fundamental informar-se sobre o software antes de o instalar no dispositivo, assim como verificar as permissões a que está a aceder. Lembre-se ainda que estas apps podem desempenhar ações que visam a obtenção de informação.

A Amazon resolveu estes problemas pouco tempo depois de serem reportados.

Para detalhes sobre as vulnerabilidades e um vídeo sobre como estas poderiam ser utilizadas pelos hackers, visite https://research.checkpoint.com

Classifique este item
(0 votos)
Ler 1540 vezes
Tagged em
Top