Amazon patch un bug de confidentialité d’Alexa

Les vulnérabilités de la plate-forme de l’assistant virtuel Alexa d’Amazon pourraient permettre aux pirates informatiques d’accéder aux informations personnelles des utilisateurs, telles que les adresses personnelles, simplement en les persuadant de cliquer sur un lien malveillant.

Les chercheurs de Check Point ont découvert plusieurs failles d’application Web sur les sous-domaines Alexa d’Amazon, notamment une faille de script intersite (XSS) et une mauvaise configuration du partage de ressources inter-origines (CORS). Un pirate pourrait exploiter à distance ces vulnérabilités en envoyant à une victime un lien Amazon spécialement conçu.

«Nous avons mené cette recherche pour mettre en évidence à quel point la sécurisation de ces appareils est essentielle au maintien de la confidentialité des utilisateurs», a déclaré Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point, dans une étude. «Alexa nous préoccupe depuis un certain temps maintenant, compte tenu de son omniprésence et de sa connexion aux appareils IoT. Ce sont ces méga plates-formes numériques qui peuvent nous nuire le plus. Par conséquent, leurs niveaux de sécurité sont d’une importance cruciale. »

amazon alexa

Les chercheurs ont partagé les résultats de leurs recherches avec Amazon en Juin 2020. Amazon a résolu les problèmes de sécurité et les chercheurs ont publiquement divulgué les failles récemment.

«La sécurité de nos appareils est une priorité absolue, et nous apprécions le travail de chercheurs indépendants comme Check Point qui nous mettent en garde contre les potentiels problèmes», a déclaré un porte-parole d’Amazon. «Nous avons résolu ce problème peu de temps après qu’il ait été porté à notre attention, et nous continuons de renforcer nos systèmes. Nous n’avons connaissance d’aucun cas d’exploitation de cette vulnérabilité contre nos clients ou de divulgation d’informations de client. »

Les failles patchées par Amazon

Les chercheurs ont testé l’application mobile qui se connecte à Alexa. Après avoir utilisé un script de dés-épinglage Frida SSL pour contourner le mécanisme d’épinglage SSL mis en œuvre pour protéger le trafic, ils ont pu afficher le trafic transmis entre l’application et l’appareil Echo en texte clair.

À partir de là, ils ont découvert que plusieurs demandes effectuées par l’application avaient une stratégie CORS mal configurée. CORS est une méthode permettant de demander des ressources sur certaines pages Web autorisées en dehors du domaine via XMLHttpRequest. Mais lorsqu’elle est mal configurée, cette stratégie peut être contournée afin d’envoyer des requêtes à partir d’un domaine contrôlé par une partie malveillante.

Cette mauvaise configuration pourrait permettre aux attaquants d’envoyer des requêtes Ajax spécifiques à partir de n’importe quel autre sous-domaine Amazon. «Cela aurait pu permettre à des attaquants dotés de capacités d’injection de code sur un sous-domaine Amazon d’effectuer une attaque interdomaine sur un autre sous-domaine Amazon», ont déclaré les chercheurs.

amazon alexa

Les chercheurs ont ensuite découvert qu’il était possible d’associer à la fois cette mauvaise configuration CORS et une faille XSS dans l’application, leur permettant de faire une requête spécifique pour renvoyer une liste de toutes les compétences installées sur Alexa. En réponse à cette requête, l’application a également renvoyé le jeton CSRF dans la réponse. Un jeton CSRF est une valeur secrète unique générée par l’application côté serveur et transmise au client via une requête HTTP. L’accès à ce jeton CSRF peut donner à des attaquants potentiels la possibilité d’effectuer des actions au nom de la victime.

L’attaque dans la vraie vie

Dans une vraie attaque, un pirate informatique convaincrait d’abord un utilisateur d’Alexa de cliquer sur un lien malveillant, qui le dirige ensuite vers Amazon où l’attaquant dispose de capacités d’injection de code. À partir de là, l’attaquant pourrait obtenir une liste des applications installées sur Alexa et le jeton de l’utilisateur.

«Le flux d’attaque est trivial. Je n’appellerais pas vraiment cela une attaque sophistiquée, mais l’implication et le remplacement des compétences rendent cette attaque transparente et sophistiquée du côté cible », a déclaré Vanunu.

Les pirates peuvent alors installer et activer à distance de nouvelles compétences pour la victime. Les compétences sont des fonctionnalités d’Alexa, développées par des fournisseurs tiers, qui peuvent être considérées comme des applications, telles que des programmes météorologiques et des fonctionnalités audio. À partir de là, ils pourraient installer ou supprimer des compétences sur le compte Alexa d’un utilisateur et récupérer une liste des compétences précédemment installées sur le compte (voir la vidéo ci-dessous pour une démonstration de preuve de concept).

Plus sérieusement, les chercheurs pensent que les hackers pourraient également accéder à l’historique vocal d’un utilisateur avec Alexa et obtenir leurs informations personnelles, y compris l’historique de leurs données bancaires, leurs noms d’utilisateur, leurs numéros de téléphone et leur adresse personnelle.

“Amazon n’enregistre pas vos identifiants de connexion bancaire, mais vos interactions sont enregistrées, et puisque nous avons accès à l’historique des discussions, nous pouvons accéder à l’interaction de la victime avec la compétence bancaire et obtenir son historique de données”, ont déclaré les chercheurs. “Nous pouvons également obtenir des noms d’utilisateur et des numéros de téléphone, en fonction des compétences installées sur le compte Alexa de l’utilisateur.”

amazon alexa

Alexa, Google Home et d’autres assistants virtuels se sont avérés avoir de graves problèmes de sécurité et de confidentialité au fil des ans. En 2019, les chercheurs ont révélé une nouvelle façon d’exploiter les haut-parleurs intelligents Alexa et Google Home pour espionner les utilisateurs. En 2018, une preuve de concept Amazon Echo Skill a montré comment les attaquants peuvent abuser de l’assistant virtuel Alexa pour écouter les consommateurs avec des appareils intelligents et transcrire automatiquement chaque mot dit. D’autres problèmes de confidentialité tels que les allégations d’Alexa enregistrant secrètement des enfants et des utilisateurs ont mis l’assistant sous les projecteurs.

Ces incidents et cette faille plus récente mettent en évidence la nécessité pour les utilisateurs d’Alexa de se souvenir de la quantité de données collectées par l’assistant vocal, a déclaré Vanunu de Check Point.

«Les haut-parleurs intelligents et les assistants virtuels sont si courants qu’il est facile d’oublier la quantité de données personnelles qu’ils détiennent et leur rôle dans le contrôle d’autres appareils intelligents dans nos maisons», a déclaré Vanunu. «Mais les pirates les considèrent comme des points d’entrée dans la vie des gens, leur donnant la possibilité d’accéder aux données, d’écouter les conversations ou de mener d’autres actions malveillantes sans que le propriétaire le sache.»

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x