Os pesquisadores da empresa demonstram como os cibercriminosos podem remover/instalar recursos na conta Alexa de uma vítima, acessar históricos de voz e informações pessoais
Os pesquisadores da Check Point Research (CPR), a divisão de inteligência de ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora global líder em soluções de cibersegurança, identificaram recentemente vulnerabilidades críticas de segurança em certos subdomínios do Amazon/Alexa, as quais teriam permitido a um cibercriminoso excluir/instalar recursos na conta Alexa de uma vítima, acessar seu histórico de voz e até mesmo seus dados pessoais.
O ataque exigia que o usuário simplesmente clicasse em um link malicioso criado pelo cibercriminoso e que a vítima interagisse com o dispositivo por voz.
Com mais de 200 milhões de unidades vendidas em todo o mundo, Alexa é capaz de interagir com voz, definir alertas, tocar música e controlar dispositivos inteligentes em um sistema de automação residencial.
Os usuários podem estender as capacidades do Alexa instalando “recursos” adicionais, que são sempre aplicativos orientados por voz. No entanto, as informações pessoais dos usuários armazenadas em suas contas Alexa e o uso do dispositivo como um centro de controle de automação residencial os tornam alvos atraente para os cibercriminosos.
Os pesquisadores da Check Point demonstraram como as vulnerabilidades encontradas em certos subdomínios do Amazon/Alexa poderiam ser utilizados pelos cibercriminosos que desenvolvessem e enviassem links maliciosos, aparentemente vindos da Amazon. Ao clicar no link, o usuário permitiria o atacante o seguinte:
• Acessar as informações pessoais da vítima, como dados bancários, nomes de usuário, números de telefone e endereço residencial.
• Extrair o histórico de voz de uma vítima com seu Alexa.
• Instalar silenciosamente recursos (aplicativos) na conta da vítima.
• Visualizar a lista completa de recursos para a conta de um usuário.
• Excluir um recurso instalado sem ser detectado.
“Alto-falantes inteligentes e assistentes virtuais são tão comuns que é muito fácil ignorar a quantidade de dados pessoais que eles possuem, bem como sua função no controle de outros dispositivos inteligentes em nossas casas.”
“Os cibercriminosos, por outro lado, os veem como pontos de entrada para acessar a vida das pessoas, dando-lhes a oportunidade de obter os dados, escutar conversas ou realizar outras ações maliciosas sem que o proprietário perceba”, diz Oded Vanunu, chefe de pesquisa de vulnerabilidade de produto da Check Point.
Vanunu informa que os pesquisadores da Check Point conduziram esta pesquisa para ressaltar como a segurança desses dispositivos se tornou crucial para manter a privacidade do usuário.
“Felizmente, a Amazon respondeu rapidamente para resolver essas vulnerabilidades. Esperamos que os fabricantes de dispositivos semelhantes sigam seu exemplo e verifiquem se seus produtos não abrigam vulnerabilidades que possam comprometer a privacidade do consumidor.”
“Há muito tempo nos preocupamos com o Alexa, devido à sua onipresença e conexão com dispositivos IoT, e são essas mega plataformas digitais que podem causar danos maiores. Portanto, seus níveis de segurança são de fundamental importância”, ressalta Vanunu.
Os assistentes virtuais são usados em casas inteligentes para controlar dispositivos IoT do dia a dia, como luzes, aspiradores de pó, eletricidade e entretenimento. Eles cresceram em popularidade na última década para desempenhar um papel nas vidas diárias das pessoas, e, parece que à medida que a tecnologia evolui, eles se tornarão mais difundidos.
Os dispositivos IoT são inerentemente vulneráveis e ainda carecem de segurança adequada, o que os torna alvos atraentes para os atacantes. Os cibercriminosos estão continuamente procurando novas maneiras de violar dispositivos ou de usá-los para infectar outros sistemas críticos.
Neste sentido, os pesquisadores da Check Point dão algumas dicas de segurança:
1. Evitar baixar aplicativos desconhecidos.
2. Pensar duas vezes antes de compartilhar: mantenha a atenção nas informações que são compartilhadas com o dispositivo, sobretudo se forem dados confidenciais (como senhas e credenciais bancárias, entre outros).
3. Ler as informações sobre os aplicativos que desejar baixar: é importante destacar que hoje praticamente qualquer pessoa pode criar um aplicativo para este tipo de assistente virtual. Por isso, é fundamental informar-se sobre o software antes de instalá-lo no dispositivo, assim como verificar as permissões que ele solicita. Além disso, é preciso ter em mente que esses aplicativos podem realizar determinadas ações para obter informações.
A equipe da Check Point relatou com responsabilidade essas vulnerabilidades à Amazon, em junho de 2020, que as corrigiu logo após essa comunicação feita aos seus responsáveis. Para obter detalhes sobre as vulnerabilidades e assistir a um vídeo mostrando como elas podem ter sido exploradas, acesse: https://research.checkpoint.com/2020/amazons-alexa-hacked/
A Amazon Brasil se posicionou sobre essa ocorrência.
“A segurança de nossos dispositivos é prioridade e agradecemos o trabalho de pesquisadores independentes como a Check Point, que nos trazem questões como essa. Corrigimos esse problema assim que tivemos conhecimento e continuamos a fortalecer ainda mais nossos sistemas. Não temos conhecimento de nenhum caso desta vulnerabilidade sendo usada contra nossos clientes ou de qualquer informação do cliente sendo exposta”, Amazon Brasil.
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças.
A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (https://www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques.
A Check Point oferece arquitetura de segurança multinível “Infinity” Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos. A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.
O que está por trás dos recentes movimentos de IBM, Amazon e Microsoft sobre reconhecimento facial?