צ'ק פוינט חשפה חולשות אבטחה חמורות באלקסה
החולשות אפשרו להאקרים להפעיל מרחוק ולהתקין יישומים על העוזרת הקולית החכמה מבית אמזון, וכן להשיג מידע אישי הנמצא על התוכנה וקשור בה
נחשפו חולשות אבטחה משמעותיות באלקסה.
דיקלה ברדה, רומן זאיקין ויערה שריקי, חוקרי אבטחת המידע של צ'ק פוינט (Check Point), חשפו חולשות אבטחה משמעותיות בסאבדומיינים של אלקסה (Alexa), תוכנת העוזר.ת האישי.ת הפופולרית של אמזון (Amazon).
החולשות אפשרו להפעיל מרחוק יישומים הקיימים על התוכנה, להתקין – בלא ידיעת הקורבן – יישומים על התוכנה, וכן לקבל גישה ישירה למידע המצוי על התוכנה, ובכלל זאת מידע אישי והיסטוריית שיחות ופעולות שנעשו דרך אלקסה.
סרטון שהעלתה צ'ק פוינט לערוצה, המדגים את חולשות האבטחה שנחשפו באלקסה
מטרה איכותית להאקרים
אלקסה היא אחת מתוכנות העוזר.ת אישי.ת הפופולריות בעולם, ולה יותר מ-200 מיליון משתמשים ברחבי העולם, כולל בישראל. אלקסה מסוגלת לייצר מנעד רחב מאד של פעולות באופן דיגיטלי – החל מהפעלה מרחוק של פעולות בבית או במשרד, ועד לביצוע פעולות בחשבון הבנק או באתרים אחרים. המשתמשים של אלקסה יכולים לבחור בעצמם אלו אפשרויות ויישומים לבצע באמצעותה דרך הפעלה קולית. במסגרת זו, אלקסה מכילה מידע אישי רב על משתמשיה – מה שהופך אותה למטרה איכותית להאקרים.
כדי לנצל את החולשות הללו האקר יכול היה לשלוח הודעה עם לינק זדוני לקורבן, באופן שנראה כי היא נשלחה מאמזון – דרך ממשקי ההפעלה של אלקסה. בלחיצה על הלינק, האקרים יכלו להשיג את היכולות הבאות, כולן בלא ידיעת הקורבן: גישה למידע האישי שנמצא על התוכנה, ובכלל זאת היסטוריית פעולות (בנקאיות ואחרות), שם משתמש, טלפונים וכתובת מגורים; גישה לפקודות הקוליות שבוצעו דרך התוכנה; התקנה של יישומים חדשים על התוכנה; וכן, הסרה של יישומים מהתוכנה.
צ'ק פוינט פנתה לאמזון עם הממצאים, והחברה תיקנה את החולשות האמורות. לדברי עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט, "מכשירים דיגיטליים הפכו לחלק בלתי נפרד מהחיים שלנו, ולעיתים אנחנו לא מרגישים עד כמה הם אוגרים מידע רגיש עלינו. האקרים מחפשים גישה למידע כזה כל הזמן, לרגל אחרי אנשים ולבצע פעולות שיניבו רווח להאקרים בלא ידיעת הקורבנות. לכן, אנו בודקים פלטפורמות פופולריות מעין אלו, שהופכות למשאב מידע עצום. אמזון הגיבו במהירות לממצאים שלנו ותיקנו אותם. אנו מקווים שיצרנים נוספים של פלטפורמות צרכניות יוודאו שהם שומרים באופן מספק על המידע האישי שנמצא עליהן".
תגובות
(0)