Check Point researchers have discovered some vulnerabilities that affect Alexa and allow hackers to take control of it
After identifying 400 vulnerabilities affecting Qualcomm chipsets found on millions of Android smartphones, researchers from cybersecurity firm Check Point have identified some dangerous vulnerabilities present on Alexa, Amazon's voice assistant. And it's a pretty major security bug: if a hacker managed to take advantage of it, he could steal a user's personal data, including bank account credentials.
Researchers have identified security vulnerabilities in some Amazon/Alexa subdomains that could help a hacker take control of a user's Alexa account without him noticing. Per cadere nella trappola dell’hacker bastava cliccare su un link fake che sembrava provenire da Amazon, ma che invece era corrotto. Una volta cliccato sul link l’utente spalancava le porte all’hacker che poteva gestire il profilo Alexa come meglio credeva: installare o disinstallare skill, oppure rubare dati personali come quelli del conto corrente. I ricercatori di Check Point hanno avvisato immediatamente Amazon che ha già fixato le vulnerabilità e risolto il problema.
Profilo Alexa sotto attacco, gli hacker possono prenderne il controllo
Check Point ha spiegato abbastanza accuratamente come funzionano le vulnerabilità scoperte. Il problema riguardava alcuni sottodomini di Amazon/Alexa non accuratamente protetti che permettevano a un hacker di prendere il controllo da remoto di un account Alexa. Per riuscire a sfruttare queste vulnerabilità un hacker doveva convincere un utente a cliccare su un link che sembrava fosse di Amazon, ma che in realtà era corrotto.
Se la persona clicca sul link, il pirata informatico può:
- Accedere alle informazioni personali della vittima, come la cronologia dei dati bancari, i nomi utente, i numeri di telefono e l’indirizzo di casa.
- Estrapolare la cronologia dei comandi vocali di una vittima.
- Installare in modo silenzioso le skill sull’account Alexa di un utente.
- Visualizza l’intera lista di skill di un account utente Alexa.
- Rimuovere silenziosamente una skill installata.
I ricercatori di Check Point sottolineano il fatto che le vulnerabilità erano molto pericolose perché Alexa è oramai diffusa in tantissimi dispositivi in tutto il Mondo e può capitare che qualche utente cada nella trappola degli hacker.
Fortunatamente le vulnerabilità sono state risolte grazie al tempestivo intervento dei tecnici di Amazon, che dubito dopo essere stati contatti da Check Point hanno fixato il problema.