اكتشاف ثغرة فى مساعد أمازون أليكسا الصوتى تسمح بسرقة البيانات
اكتشف باحثو الأمن ثغرة تسمح لمجرمى الإنترنت بالحصول على بيانات السجل الصوتى، إلى جانب حذف وتثبيت الأوامر والتطبيقات، حيث تعرض أكثر من 200 مليون جهاز من أجهزة أمازون أليكسا لخطر الهجمات السيبرانية بسبب خلل موجود فى المساعد الذكى، ووفقا لما ذكرته صحيفة “ديلى ميل” البريطانية، اكتشف الفريق خطأ فى التكوين فى النظام سمح لهم بأداء الإجراءات نيابة عن الضحية وعرض المعلومات الشخصية.
وأطلقت أمازون منذ ذلك الحين تصحيحًا بعد إبلاغ عملاق التكنولوجيا بالمشكلة، ولاحظت أنها ليست على علم بأى حوادث متعلقة بالخطأ.
وتم الكشف عن المشكلات من جانب شركة الأمن السيبرانى Check Point، والتى وجدت أن “نطاقات فرعية معينة من Amazon / Alexa كانت عرضة للتهيئة الخاطئة لمشاركة الموارد عبر المنشأ (CORS) والبرمجة النصية عبر المواقع.
وجاء فى التقرير الأمنى “أنه باستخدام XSS ، تمكنا من الحصول على رمز CSRF وتنفيذ الإجراءات نيابة عن الضحية”.
وسمحت الثغرة الأمنية للمتسللين بتثبيت المهارات وحذفها ، بالإضافة إلى الحصول على المعلومات الشخصية للمستخدم.
وتطلب الهجوم ضغطة واحدة من المستخدم على رابط ضار صممه المتسلل وتفاعل صوتي من جانب الضحية.
وقال عوديد فانونو، رئيس أبحاث ثغرات المنتجات في Check Point: “مكبرات الصوت الذكية والمساعدين الافتراضيين شائعة جدًا لدرجة أنه من السهل التغاضي عن مقدار البيانات الشخصية التي يحتفظون بها، ودورهم في التحكم في الأجهزة الذكية الأخرى في منازلنا”.
وأضاف رئيس أبحاذ ثغرات المنتجات:”لكن المتسللين يعتبرونها بمثابة نقاط دخول إلى حياة الناس، مما يمنحهم الفرصة للوصول إلى البيانات، والتنصت على المحادثات أو القيام بأعمال ضارة أخرى دون علم المالك”.