מספר נקודות תורפה נחשפו באלקסה של אמזון, המדגישות את הצורך בספקיות של פלטפורמות בית חכם, כמו של אפלHomeKit, כדי לשמור על אבטחה כחלק מהשירות.
הקונספט של בית חכם הוא אטרקטיבי, אבל החלום להזמין עוזר וירטואלי כדי לבצע אוטומציה של משימות ביתיות הופך לסיוט ברגע שבעיות אבטחה צצות. במקרה של Alexa של אמזון, שנמצאת בלב הגדרת הבית החכם של אנשים רבים, נחשפו נקודות תורפה שיכולות היו לאפשר לתוקף לבצע משימות ולגלות מה משתמש אמר לאלקסה, בעיות שתוקנו מאז.
הדִוּוּחַחוקרי צ'ק פוינט אבטחה חושפים שמספר תת-דומיינים של אמזון ואלקסה היו פגיעים לתצורה שגויה של שיתוף משאבים חוצה מקור (CORS) ו-Cross Site Scripting (XSS). באמצעות XSS, תוקף יוכל לרכוש אסימון CSRF שיספק לו גישה לאלמנטים של התקנת הבית החכם.
לדברי החוקרים, אלה יכולים לכלול התקנה אוטומטית של מיומנויות Alexa ללא ידיעת המשתמש, רכישת רשימה של כל המיומנויות המותקנות, הסרה שקטה של מיומנויות מותקנים, רכישת היסטוריית הקול של הקורבן עם Alexa, ואפילו השגת מידע אישי.
מניפולציית מיומנות זו הייתה יכולה לאפשר להתקין גרסה שונה של מיומנות קיימת ולאחר מכן להשתמש בה על ידי המשתמש, כזו שיכולה לאפשר ביצוע פעולות על ידי התוקף, או רכישה נוספת של נתונים מהמשתמש. אפילו תוקף יכול היה להתקין מיומנות לצותת לשיחות לידמכשיר הד.
אמנם האזנת סתר הייתה אפשרית, אך למשתמשים היה פוטנציאל קצה חוט של משהו לא נעים מכיוון שהאזנה הייתה מפעילה את מחוון האור הכחול במכשיר ה-Echo.
משתמשים יכולים בדרך כלל לפקח ולמחוק את היסטוריית הקול שלהם באמצעות ההגדרות הפרטיות של Alexaעמוד, או אפליקציית Alexa. משתמשים יכולים גם למחוק רשומות על ידי אמירת "אלכסה, מחק את מה שאמרתי עכשיו" או "אלכסה, מחק את כל מה שאמרתי היום", בעוד אפשרות מחיקה אוטומטית יכולה למחוק את הנתונים ברגע שהם בני שלושה חודשים או 18 חודשים.
נטען כי ניצול מוצלח של הפגיעויות היה אפשרי באמצעות לחיצה אחת על קישור אמזון על ידי הקורבן.
צ'ק פוינט חשפה באחריות את נקודות התורפה לאמזון ביוני 2020, והבעיות תוקנו.
"מכשירי האינטרנט של הדברים הם מטבעם פגיעים ועדיין חסרים אבטחה מספקת, מה שהופך אותם למטרות אטרקטיביות עבור גורמי איומים", כותבת צ'ק פוינט. "פושעי סייבר מחפשים כל הזמן דרכים חדשות לפרוץ מכשירים, או להשתמש בהם כדי להדביק מערכות קריטיות אחרות. המחקר הזה הציג נקודת תורפה במה שהוא גשר למכשירי IoT כאלה. גם הגשר וגם המכשירים משמשים כנקודות כניסה. הם חייבים להישמר מאובטח בכל עת כדי למנוע מהאקרים לחדור לבתים החכמים שלנו".
"אבטחת המכשירים שלנו היא בראש סדר העדיפויות, ואנו מעריכים את עבודתם של חוקרים עצמאיים כמו צ'ק פוינט שמביאים לנו בעיות פוטנציאליות", אמר דובר אמזון. "תייקנו בעיה זו זמן קצר לאחר שהובאה לידיעתנו, ואנו ממשיכים לחזק עוד יותר את המערכות שלנו. איננו מודעים למקרים של שימוש בפגיעות זו כנגד לקוחותינו או על חשיפת מידע על לקוחות".
אמזון חיזרה אחרי מחלוקת עם בעיות האבטחה והפרטיות של פלטפורמת הבית החכם שלה בעבר. בשנת 2019, נמצא שעובדי אמזון האזינוהקלטות אודיוממכשירי Echo כדי לשפר את הדיוק שלו, בעוד שבהמשך אותה שנה הצליחו החוקרים להוסיףאפליקציות ריגוללחנויות אפליקציות עבור Alexa ו-Google Home שאפשרו האזנה ודיוג.
בעוד שאפל אכן מפעילה פלטפורמת בית חכם HomeKit משלה, החברה פועלת כדי לשמור על כל רכיב מאובטח ככל האפשר. זה כולל שימוש נרחב בהצפנה, כמו גם שורה ארוכה של דרישות והגבלות שכל מכשיר חדש תואם HomeKit חייב לעמוד בהן כדי לתפקד בפלטפורמה.
לְעַדְכֵּן:18 באוגוסט: עודכן בהצהרה של אמזון ושינויים קלים.
