"אלכסה, האקר מקשיב לכל מה שאני אומר לך?"
לפי דיווח חדש, הם היו יכולים להיות.
חברת אבטחת הסייבר צ'ק פוינטזה עתה פרסם את המחקר האחרון שלועל העוזרת הוירטואלית של אמזון אלקסה. הדו"ח מפרט נקודות תורפה עיקריות שאפשרו לחוקרים לגשת לחשבונות אלקסה, ובתמורה לנתונים אישיים. אמזון אומרת שהבעיה תוקנה, וכי היא לא מודעת למקרים של שימוש בפגיעות כלפי לקוחותיה.
"הממצאים שלנו מראים שתת-דומיינים מסוימים של אמזון/אלקסה היו פגיעים לתצורה שגויה של שיתוף משאבים חוצה מקור (CORS) ו-Cross Site Scripting", נכתב בדו"ח. "באמצעות ה-XSS הצלחנו לקבל את אסימון ה-CSRF ולבצע פעולות בשמו של הקורבן."
תרגום: הפגמים אפשרו לשחקנים זדוניים להתקין ולמחוק מיומנויות - החל מאפליקציות חדשות לגיטימיות ועד מיומנויות זדוניות שפותחו על ידי ההאקרים כדי לגנוב את המידע שלך - בחשבון Alexa שלך ולהשיג את המידע האישי שלך באמצעות מיומנויות אלה. איזה סוג של מידע אישי? כל דבר, באמת.
מאז אמזון פרסמה תיקון לפגיעות זו לאחר שצ'ק פוינט דיווחה על הבעיה לענקית המסחר האלקטרוני.
מהירות אור ניתנת לריסוק
"אבטחת המכשירים שלנו היא בראש סדר העדיפויות, ואנו מעריכים את עבודתם של חוקרים עצמאיים כמו צ'ק פוינט שמביאים לנו בעיות פוטנציאליות", אמר דובר אמזון בהצהרה. "תיקנו את הבעיה הזו זמן קצר לאחר שהובאה אלינו. תשומת לב, ואנחנו ממשיכים לחזק עוד יותר את המערכות שלנו. איננו מודעים למקרים של שימוש בפגיעות זו כנגד לקוחותינו או על חשיפת מידע על לקוחות".
כפי שצ'ק פוינט מציינת, אמזון לא אוגרת מידע פיננסי רגיש כמו כניסות בנקאיות, אבל כל הפעולות הקוליות שלך מוקלטות. ונחשו מה... האקרים יכלו לגשת גם להיסטוריית הקול של Alexa דרך הפגיעויות האלה. כברירת מחדל, העוזר הוירטואלי בעצם מקליט ומאחסן את כל מה שאתה אומר כאשר מכשיר תומך אלקסה מופעל. זה אומר שהמידע האישי הנגיש שלך יכול להתרחב לכל מה שסיפרת לאלקסה, או כל דבר שאמרת בכלל כשאלקסה פעלה. כתובות בית, שמות משתמש, מספרי טלפון, אתה שם את זה - כולם נגישים.
מוקדם יותר השנה ב-CES 2020, אמזוןהכריזשאלקסה מפעילה "מאות מיליוני" מכשירים, כולל רמקולי Echo, טאבלטים Fire ומכשירי סטרימינג של החברה, שלא לדבר על מוצרי צד שלישי המאפשרים את העוזר הוירטואלי.
זה מאות מיליוני יעדים פוטנציאליים להאקרים.
"רמקולים חכמים ועוזרים וירטואליים הם כל כך שכיחים עד שקל להתעלם מכמה נתונים אישיים הם מחזיקים, ומהתפקיד שלהם בשליטה במכשירים חכמים אחרים בבתים שלנו", אמר בהצהרה של צ'ק פוינט, ראש חקר פגיעות במוצרים, עודד ואנונו. "אבל האקרים רואים בהם נקודות כניסה לחייהם של אנשים, מה שנותן להם את ההזדמנות לגשת לנתונים, לצותת לשיחות או לבצע פעולות זדוניות אחרות מבלי שהבעלים יהיה מודע לכך."
חוקרי אבטחה מזהירים מזה זמן רב חברות טכנולוגיה וצרכנים מפניפגמי אבטחהלגבי עוזרים וירטואליים כמו אלקסה. באוקטובר של השנה שעברה, האקרים כובע לבן בגרמניהנמצאשגוגל ואמזון אישרו שתיהן אפליקציות לאלקסה ולגוגל הום שיציתו למשתמשיה. גם אמזון התמודדהבְּדִיקָהעל שסיפקה בעבר גישה לאותן הקלטות Alexa לחלק מעובדיה.
"אלכסה מדאיגה אותנו כבר זמן מה, לאור נוכחותה והחיבור שלה למכשירי IoT", אמר ואנונו, בהתייחסו למכשירי "האינטרנט של הדברים" המשתמשים בעוזרת הוירטואלית כדי לשלוט על חפצי בית ומכשירים יומיומיים כמו תרמוסטטים ואורות. "הפלטפורמות המגה הדיגיטליות האלה יכולות לפגוע בנו הכי הרבה. לכן, לרמות האבטחה שלהם יש חשיבות מכרעת".
עדכון: 14 באוגוסט 2020, 10:09 בבוקר EDTהסיפור הזה עודכן בהצהרה מאמזון וכדי לשקף עוד יותר את העובדה שהחברה תיקנה את הבעיה.
![לוק סקייווקר מתפתה לסגנון גנגנם [וידאו]](https://helios-i.mashable.com/imagery/archives/06L4iXFlzv6t1R4zaa6xlf4/hero-image.fill.size_1200x675.v1647021533.jpg "לוק סקייווקר מתפתה לסגנון גנגנם [וידאו]")
