Alexa, scoperta falla: bastava un (falso) link Amazon per esporsi ad attacchi hacker
Brutte notizie per i possessori di Alexa, l’assistente vocale di Amazon. Secondo un’azienda specializzata in sicurezza informatica il dispositivo presenterebbe numerose vulnerabilità che permettono ai malintenzionati di trafugare dati sensibili.
Il report dei ragazzi di Check Point Security hanno rivelato che un certo numero di sottodomini Amazon e Alexa erano vulnerabili ad un’errata configurazione CORS (Cross-Origin Resource Sharing) e Cross Site Scripting (XSS). Utilizzando XSS, un utente malintenzionato potrebbe acquisire un token CSRF che gli fornirebbe l’accesso agli elementi di installazione della smart home.
Secondo i ricercatori, quindi, questi “elementi” potrebbero includere l’installazione automatica delle abilità di Alexa all’insaputa dell’utente, l’acquisizione di un elenco di tutte le abilità installate, la rimozione silenziosa delle abilità installate, l’acquisizione della cronologia vocale della vittima con Alexa e persino l’acquisizione di informazioni personali.
E sembra che basti persino un semplice click su un link Amazon (ovviamente falso) da parte della vittima per “aprire la strada” agli hacker. Amazon ha risolto queste vulnerabilità nel giugno 2020.
I dispositivi Internet of Things sono intrinsecamente vulnerabili e mancano ancora di una sicurezza adeguata, il che li rende bersagli attraenti per i pirati informatici – scrive Check Point – I criminali informatici sono alla continua ricerca di nuovi modi per violare i dispositivi o utilizzarli per infettare altri sistemi critici. Questa ricerca ha presentato un punto debole in quello che è un ponte per tali dispositivi IoT. Sia il bridge che i dispositivi fungono da punti di ingresso. Devono essere sempre al sicuro per impedire agli hacker di infiltrarsi nelle nostre case intelligenti.
