Últimas notícias

Fique informado

Alexa torna-se uma preocupação: a Check Point identifica vulnerabilidades críticas no assistente de voz da Amazon

14/08/2020

Spotlight

Lei Geral de Proteção de Dados Brasileira – LGPD começa a valer

Começa a valer nesta sexta 18 de setembro de 2020 conforme o texto aprovado pelo Senado .

18/09/2020

Como gerenciar Identidades Digitais em empresas públicas e privadas? Ouça

Sobre como gerenciar eIDs, conversamos com Luís Correia – Business Development da AET EUROPE, empresa global na área de soluções de segurança digital.

02/09/2020

PLV 32/2020 passa pelo Senado!

Senado Federal aprovou nesta 3ª feira 1º de setembro o Projeto de Lei de Conversão (PLV) 32/2020, oriundo da Medida Provisória (MP) 983/2020

01/09/2020

Pesquisadores da Check Point resolvem um problema de segurança de 20 anos no Linux que atinge a Internet das Coisas

Os especialistas introduzem um novo mecanismo de segurança para usuários do Linux, chamado de “safe-linking”, para dificultar a exploração neste sistema pelos atacantes.

25/05/2020

Os pesquisadores da empresa demonstram como os cibercriminosos podem remover/instalar recursos na conta Alexa de uma vítima, acessar históricos de voz e informações pessoais

Os pesquisadores da Check Point Research (CPR), a divisão de inteligência de ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora global líder em soluções de cibersegurança, identificaram recentemente vulnerabilidades críticas de segurança em certos subdomínios do Amazon/Alexa, as quais teriam permitido a um cibercriminoso excluir/instalar recursos na conta Alexa de uma vítima, acessar seu histórico de voz e até mesmo seus dados pessoais.

O ataque exigia que o usuário simplesmente clicasse em um link malicioso criado pelo cibercriminoso e que a vítima interagisse com o dispositivo por voz.

Com mais de 200 milhões de unidades vendidas em todo o mundo, Alexa é capaz de interagir com voz, definir alertas, tocar música e controlar dispositivos inteligentes em um sistema de automação residencial.

Os usuários podem estender as capacidades do Alexa instalando “recursos” adicionais, que são sempre aplicativos orientados por voz. No entanto, as informações pessoais dos usuários armazenadas em suas contas Alexa e o uso do dispositivo como um centro de controle de automação residencial os tornam alvos atraente para os cibercriminosos.

Os pesquisadores da Check Point demonstraram como as vulnerabilidades encontradas em certos subdomínios do Amazon/Alexa poderiam ser utilizados pelos cibercriminosos que desenvolvessem e enviassem links maliciosos, aparentemente vindos da Amazon. Ao clicar no link, o usuário permitiria o atacante o seguinte:

• Acessar as informações pessoais da vítima, como dados bancários, nomes de usuário, números de telefone e endereço residencial.

• Extrair o histórico de voz de uma vítima com seu Alexa.

• Instalar silenciosamente recursos (aplicativos) na conta da vítima.

• Visualizar a lista completa de recursos para a conta de um usuário.

• Excluir um recurso instalado sem ser detectado.

Oded Vanunu-chefe de pesquisa de vulnerabilidade
de produto da Check Point

“Alto-falantes inteligentes e assistentes virtuais são tão comuns que é muito fácil ignorar a quantidade de dados pessoais que eles possuem, bem como sua função no controle de outros dispositivos inteligentes em nossas casas.”

“Os cibercriminosos, por outro lado, os veem como pontos de entrada para acessar a vida das pessoas, dando-lhes a oportunidade de obter os dados, escutar conversas ou realizar outras ações maliciosas sem que o proprietário perceba”, diz Oded Vanunu, chefe de pesquisa de vulnerabilidade de produto da Check Point.

Vanunu informa que os pesquisadores da Check Point conduziram esta pesquisa para ressaltar como a segurança desses dispositivos se tornou crucial para manter a privacidade do usuário.

“Felizmente, a Amazon respondeu rapidamente para resolver essas vulnerabilidades. Esperamos que os fabricantes de dispositivos semelhantes sigam seu exemplo e verifiquem se seus produtos não abrigam vulnerabilidades que possam comprometer a privacidade do consumidor.”

Há muito tempo nos preocupamos com o Alexa, devido à sua onipresença e conexão com dispositivos IoT, e são essas mega plataformas digitais que podem causar danos maiores. Portanto, seus níveis de segurança são de fundamental importância”, ressalta Vanunu.

Os assistentes virtuais são usados em casas inteligentes para controlar dispositivos IoT do dia a dia, como luzes, aspiradores de pó, eletricidade e entretenimento. Eles cresceram em popularidade na última década para desempenhar um papel nas vidas diárias das pessoas, e, parece que à medida que a tecnologia evolui, eles se tornarão mais difundidos.

Os dispositivos IoT são inerentemente vulneráveis e ainda carecem de segurança adequada, o que os torna alvos atraentes para os atacantes. Os cibercriminosos estão continuamente procurando novas maneiras de violar dispositivos ou de usá-los para infectar outros sistemas críticos.

Neste sentido, os pesquisadores da Check Point dão algumas dicas de segurança:

1. Evitar baixar aplicativos desconhecidos.

2. Pensar duas vezes antes de compartilhar: mantenha a atenção nas informações que são compartilhadas com o dispositivo, sobretudo se forem dados confidenciais (como senhas e credenciais bancárias, entre outros).

3. Ler as informações sobre os aplicativos que desejar baixar: é importante destacar que hoje praticamente qualquer pessoa pode criar um aplicativo para este tipo de assistente virtual. Por isso, é fundamental informar-se sobre o software antes de instalá-lo no dispositivo, assim como verificar as permissões que ele solicita. Além disso, é preciso ter em mente que esses aplicativos podem realizar determinadas ações para obter informações.

A equipe da Check Point relatou com responsabilidade essas vulnerabilidades à Amazon, em junho de 2020, que as corrigiu logo após essa comunicação feita aos seus responsáveis. Para obter detalhes sobre as vulnerabilidades e assistir a um vídeo mostrando como elas podem ter sido exploradas, acesse: https://research.checkpoint.com/2020/amazons-alexa-hacked/

A Amazon Brasil se posicionou sobre essa ocorrência.

A segurança de nossos dispositivos é prioridade e agradecemos o trabalho de pesquisadores independentes como a Check Point, que nos trazem questões como essa. Corrigimos esse problema assim que tivemos conhecimento e continuamos a fortalecer ainda mais nossos sistemas. Não temos conhecimento de nenhum caso desta vulnerabilidade sendo usada contra nossos clientes ou de qualquer informação do cliente sendo exposta”, Amazon Brasil.

Check Point descobre campanhas que usam currículos e formulários médicos para disseminar Trojans bancários

Sobre a Check Point Research

A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças.

A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd. (https://www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques.

A Check Point oferece arquitetura de segurança multinível “Infinity” Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos. A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.

Check Point descobre nova vulnerabilidade crítica em ambiente Microsoft que coloca em risco a segurança das empresas

O que está por trás dos recentes movimentos de IBM, Amazon e Microsoft sobre reconhecimento facial?

Apresente suas soluções e serviços no Crypto ID! 

Nosso propósito é atender aos interesses dos nossos leitores, por isso, selecionamos muito bem os artigos e as empresas anunciantes. Conteúdo e anúncios precisam ser relevantes para o mercado da segurança da informação, criptografia e identificação digital. Se sua empresa é parte desse universo, baixe nosso Mídia Kit, escreva pra gente e faça parte do Portal Crypto ID!

ACESSE O MÍDIA KIT DO CRYPTO ID

contato@cryptoid.com.br  
+55 11 3881 0019