يمكن استغلال المساعد الصوتي أليكسا (Alexa) من شركة أمازون لتسليم بيانات المستخدم بسبب الثغرات الأمنية في المجالات الفرعية للخدمة.
وكان المساعد الذكي، الموجود في أجهزة، مثل (Amazon Echo) و (Echo Dot)، عرضة للمهاجمين الذين يبحثون عن معلومات التعريف الشخصية للمستخدم (PII) والتسجيلات الصوتية.
وقالت (Check Point): إن المشكلات الأمنية سببها نطاقات أمازون أليكسا الفرعية المعرضة للإعداد بشكل خطأ لمشاركة الموارد عبر المنشأ (CORS) وهجمات البرمجة النصية عبر المواقع (XSS).
وحدد باحثو (Check Point) الثغرة الأمنية من خلال إجراء اختبارات باستخدام تطبيق مساعد أمازون الصوتي، ووجدوا أن العديد من الطلبات التي قدمها التطبيق بها سياسة إعداد خطأ تسمح بإرسال الطلبات من أي نطاق فرعي من أمازون.
ويسمح هذا الأمر للمهاجمين الذين لديهم إمكانات حقن التعليمات البرمجية ضمن نطاق فرعي واحد بتنفيذ هجوم عبر المجالات على نطاق فرعي آخر من أمازون.
وكدليل على المفهوم، استغل الباحثون الخلل في أحد نطاقات أمازون الفرعية للاستفادة من ملفات تعريف الارتباط والسياسة التي تمت تهيئتها بشكل خطأ لإجراء تعديلات على حسابات أليكسا.
وصمموا روابط وجهت الضحايا الوهميين إلى (track.amazon.com)، والذي يمكن للباحثين من خلاله إرسال طلبات تحتوي على ملفات تعريف الارتباط الخاصة بالضحايا إلى عنوان موقع يعرض قوائم بالتطبيقات الصوتية المثبتة على حسابات أليكسا الخاصة بالضحايا.
واستخدم الباحثون بعد ذلك رمزًا مميزًا لإزالة تطبيق شائع من القوائم وتثبيت تطبيق ضار عبر عبارة التنشيط نفسها للتطبيق المحذوف.
وبهذه الطريقة، فإن الضحايا الذين يستخدمون عبارة التنشيط يشغلون عن غير قصد تطبيق المهاجم الضار.
ووجدت (Check Point) أثناء الاختبارات أن أرقام الهواتف وعناوين المنازل وأسماء المستخدمين وسجل البيانات المصرفية يمكن أن تتم سرقتها نظريًا.
ولا تسجل أمازون بيانات تسجيل الدخول المصرفي، لكن يتم تسجيل تفاعلات المستخدم، ومع ذلك، فإن أليكسا ينقح المعلومات المصرفية بشكل سريع في السجلات.
وقال متحدث باسم أمازون في بيان: يعتبر أمان أجهزتنا أولوية قصوى، ونحن نقدر عمل الباحثين المستقلين، مثل (Check Point)، الذين يظهرون لنا مشكلات محتملة.
وأضاف “لقد أصلحنا هذه المشكلة بعد فترة وجيزة من لفت انتباهنا إليها، ونواصل تعزيز أنظمتنا، ولسنا على علم بوجود أي حالات استغلال لهذه الثغرة الأمنية ضد عملائنا أو الكشف عن أي معلومات خاصة بالعميل”.
وكتب الباحثون في تدوينة: يتم استخدام المساعدين الافتراضيين في المنازل الذكية للتحكم في أجهزة إنترنت الأشياء اليومية، مثل المصابيح ومكيفات الهواء والمكانس الكهربائية والكهرباء والترفيه، وقد نمت شعبيتها في العقد الماضي لتلعب دورًا في حياتنا اليومية، ويبدو أنه مع تطور التكنولوجيا، فإنها ستصبح أكثر انتشارًا.
وأضافوا “بالنظر إلى أن المساعدين الافتراضيين يعملون اليوم كنقاط دخول إلى الأجهزة المنزلية للأفراد وأجهزة التحكم في الأجهزة، فقد أصبح تأمين هذه النقاط أمرًا بالغ الأهمية، مع الحفاظ على خصوصية المستخدم كأولوية قصوى”.
ووجدت دراسة أجراها باحثو كلية الحوسبة بجامعة كليمسون أن سياسات خصوصية تطبيق أمازون أليكسا ومساعد جوجل غالبًا ما تكون إشكالية وتنتهك المتطلبات الأساسية.