Исследователи нашли в Amazon Alexa несколько крайне опасных уязвимостей. Некоторые из них позволяли посторонним людям узнать конфиденциальные данные пользователей. О том, что это за баги, рассказал специалист по защите информации обязанности Ереван, подготовивший отчет по этому вопросу.
В чем основная опасность багов, специалист по защите информации обязанности Ереван
Для эксплуатации багов злоумышленнику не нужно было получать доступ непосредственно к умному устройству. Уязвимости содержались не только в самой прошивке Amazon Alexa, но и на электронных ресурсах компании. Исходя из этого, схема атаки отличалась простотой и не требовала задействования дополнительных сложных инструментов. Как утверждает специалист по защите информации профессия Ереван, для таких багов хакерам даже не нужно писать эксплойты, достаточно более простых методов.
Чтобы получить доступ к конфиденциальным данным, злоумышленникам требовалось создать фишинговый сайт. Который, к тому же, являлся бы посредником между пользователем и официальным порталом Amazon. Зайдя через вредоносный сайт на ресурс Amazon, пользователь задействовал простой скрипт. В свою очередь, он отправлял злоумышленникам сведения, позволяющие просмотреть как учетные записи. Более того, хакеры могли узнать и непосредственно конфиденциальные данные пользователей.
Как действуют злоумышленники
Существует множество различных способов направить пользователя на нужный сайт. Например, вывести фишинговую страницу в топ выдачи поисковой системы при помощи нечестных средств продвижения. Также можно разослать электронные письма с ложными предложениями и вредоносной ссылкой. Так, специалист по защите информации профстандарт Ереван отмечает, что многие хакерские группировки используют эти методы для распространения многочисленных вредоносных ссылок, вирусов и бэкдоров. К сожалению, качественного способа противодействия всем подобным методам пока нет.
Аналитики сообщают, что при эксплуатации багов можно получить следующие сведения о пользователях Amazon Alexa:
- голосовая история;
- номер телефона;
- домашний адрес;
- данные банковской карты.
Разработчики компании Amazon сразу же поспешили исправить все уязвимости. Они сообщают, что не получили ни одного сообщения о том, что злоумышленники смогли воспользоваться благами и украсть данные пользователей. Однако специалист по защите информации работа Ереван отмечает, что хакеры могли собрать все необходимые сведения до устранения уязвимостей, а использовать их будут позже. Именно поэтому важно понимать, что сейчас компании не могут обеспечить достаточную защиту от взлома для всех видов умных устройств, поэтому стоит защищать их дополнительно, не предоставлять большое количество личной информации и ограничивать возможность собирать сведения, если есть такие настройки.
