Οι συσκευές εικονικών βοηθών έχουν τα θέματα τους σχετικά με το απόρρητο, αλλά γενικά θεωρούνται αρκετά ασφαλείς για τους περισσότερους ανθρώπους. Ωστόσο, μια νέα έρευνα σχετικά με τις ευπάθειες στην πλατφόρμα Alexa του Amazon, υπογραμμίζει τη σημασία του να σκεφτόμαστε τα προσωπικά δεδομένα που αποθηκεύει ο έξυπνος βοηθός για εμάς – και να τα ελαχιστοποιείτε όσο μπορείτε.
Τα ευρήματα που δημοσιεύθηκαν την Πέμπτη από την εταιρεία ασφαλείας Check Point αποκαλύπτουν ότι οι διαδικτυακές υπηρεσίες της Alexa είχαν σφάλματα που ένας χάκερ θα μπορούσε να εκμεταλλευτεί για να αρπάξει ολόκληρο το φωνητικό ιστορικό ενός θύματος, που σημαίνει τις ηχογραφημένες ηχητικές αλληλεπιδράσεις του με την Alexa. Η Amazon έχει επιδιορθώσει τα ελαττώματα, αλλά η ευπάθεια θα μπορούσε επίσης να έχει δώσει πληροφορίες του προφίλ, συμπεριλαμβανομένης της διεύθυνσης σπιτιού, καθώς και όλες τις “δεξιότητες” ή εφαρμογές, που είχε προσθέσει ο χρήστης για την Alexa. Ένας εισβολέας θα μπορούσε ακόμη και να διαγράψει μια υπάρχουσα δεξιότητα και να εγκαταστήσει μια κακόβουλη για να κλέψει περισσότερα δεδομένα μετά την αρχική επίθεση.
“Οι εικονικοί βοηθοί είναι κάτι που απλά μιλάτε και απαντάτε και συνήθως δεν έχετε στο μυαλό σας κάποια κακόβουλα σενάρια”, λέει ο Oded Vanunu, επικεφαλής της έρευνας για την ευπάθεια προϊόντων του Check Point. “Ωστόσο, βρήκαμε μια αλυσίδα ευπάθειας στη διαμόρφωση υποδομής της Alexa, η οποία τελικά επιτρέπει σε έναν κακόβουλο εισβολέα να συλλέγει πληροφορίες σχετικά με τους χρήστες και ακόμη και να εγκαταστήσει νέες δεξιότητες.”
Προκειμένου ένας εισβολέας να εκμεταλλευτεί τις ευπάθειες, θα πρέπει πρώτα να εξαπατήσει τους στόχους να κάνουν κλικ σε έναν κακόβουλο σύνδεσμο. Τα υποκείμενα ελαττώματα σε ορισμένα subdomain Amazon και Alexa, ωστόσο, σήμαινε ότι ένας εισβολέας θα μπορούσε να έχει δημιουργήσει έναν γνήσιο και κανονικό σύνδεσμο Amazon για να δελεάσει τα θύματα σε εκτεθειμένα τμήματα της υποδομής του Amazon. Με τη στρατηγική καθοδήγηση των χρηστών στο track.amazon.com – μια ευάλωτη σελίδα που δεν σχετίζεται με την Alexa, αλλά χρησιμοποιείται για την παρακολούθηση πακέτων Amazon – ο εισβολέας θα μπορούσε να έχει εισάγει κώδικα που τους επέτρεψε να περιστραφεί στην υποδομή Alexa, στέλνοντας ένα ειδικό αίτημα μαζί με τα cookies του στόχου από τη σελίδα παρακολούθησης πακέτων στη διεύθυνση skillstore.amazon.com/app/secure/your-skills-page.
Σε αυτό το σημείο, η πλατφόρμα θα άλλαζε τον εισβολέα με τον νόμιμο χρήστη και ο εισβολέας θα μπορούσε στη συνέχεια να έχει πρόσβαση στο πλήρες ιστορικό ήχου του θύματος, στη λίστα των εγκατεστημένων δεξιοτήτων και σε άλλα στοιχεία λογαριασμού. Ο εισβολέας θα μπορούσε επίσης να απεγκαταστήσει μια δεξιότητα που είχε ο χρήστης και, εάν ο χάκερ είχε τοποθετήσει μια κακόβουλη ικανότητα στο Alexa Skills Store, θα μπορούσε ακόμη και να εγκαταστήσει αυτήν την παρεμβαλλόμενη εφαρμογή στον λογαριασμό Alexa του θύματος.
Τόσο το Check Point όσο και το Amazon σημειώνουν ότι όλες οι δεξιότητες στο κατάστημα του Amazon παρακολουθούνται για πιθανή επιβλαβή συμπεριφορά, οπότε δεν είναι ξεκάθαρο συμπέρασμα ότι ένας εισβολέας θα μπορούσε να είχε εισάγει μια κακόβουλη δεξιότητα εκεί. Το Check Point αναφέρει επίσης ότι ένας χάκερ μπορεί να έχει πρόσβαση στο ιστορικό τραπεζικών δεδομένων μέσω της επίθεσης, αλλά η Amazon το αμφισβητεί, λέγοντας ότι οι πληροφορίες αποκλείονται στις απαντήσεις της Alexa.
Αν και δεν μπορείτε να ελέγξετε εάν η Amazon έχει ένα σφάλμα σε μία από τις μακρινές υπηρεσίες ιστού της, μπορείτε να ελαχιστοποιήσετε τα δεδομένα στον λογαριασμό σας Alexa. Μετά την ανατροπή των θολών πρακτικών που σχετίζονται με τη χρήση ανθρώπινων μεταγραφών για αποσπάσματα ήχου ορισμένων χρηστών της Alexa, η Amazon διευκόλυνε τη διαγραφή του ιστορικού ήχου σας. Είναι σημαντικό να το κάνετε αυτό τακτικά, γιατί διαφορετικά η Amazon θα αποθηκεύει αυτές τις ηχογραφήσεις επ ‘αόριστον.
Για να προβάλετε και να διαγράψετε το ιστορικό Alexa, ανοίξτε την εφαρμογή Alexa στο τηλέφωνό σας και μεταβείτε στις Ρυθμίσεις> Ιστορικό. Εδώ μπορείτε να διαγράψετε μόνο τις καταχωρήσεις μία προς μία. Για να διαγράψετε μαζικά, μεταβείτε στις Ρυθμίσεις απορρήτου της Alexa στον ιστότοπο του Amazon και, στη συνέχεια, επιλέξτε Έλεγχος ιστορικού φωνής. Μπορείτε επίσης να διαγράψετε προφορικά λέγοντας, “Alexa, διέγραψε ό, τι είπα μόλις” ή “Alexa, διέγραψε όλα όσα είπα σήμερα.”
