Os pesquisadores da Check Point Research identificaram recentemente vulnerabilidades críticas de segurança em certos subdomínios do Amazon/Alexa, as quais teriam permitido a um cibercriminoso excluir/instalar recursos na conta Alexa de uma vítima, acessar seu histórico de voz e até mesmo seus dados pessoais. O ataque exigia que o usuário simplesmente clicasse em um link malicioso criado pelo cibercriminoso e que a vítima interagisse com o dispositivo por voz.
Com mais de 200 milhões de unidades vendidas em todo o mundo, Alexa é capaz de interagir com voz, definir alertas, tocar música e controlar dispositivos inteligentes em um sistema de automação residencial. Os usuários podem estender as capacidades do Alexa instalando “recursos” adicionais, que são sempre aplicativos orientados por voz. No entanto, as informações pessoais dos usuários armazenadas em suas contas Alexa e o uso do dispositivo como um centro de controle de automação residencial os tornam alvos atraente para os cibercriminosos.
Os pesquisadores da Check Point demonstraram como as vulnerabilidades encontradas em certos subdomínios do Amazon/Alexa poderiam ser utilizados pelos cibercriminosos que desenvolvessem e enviassem links maliciosos, aparentemente vindos da Amazon. Ao clicar no link, o usuário permitiria o atacante o seguinte:
• Acessar as informações pessoais da vítima, como dados bancários, nomes de usuário, números de telefone e endereço residencial.
• Extrair o histórico de voz de uma vítima com seu Alexa.
• Instalar silenciosamente recursos (aplicativos) na conta da vítima.
• Visualizar a lista completa de recursos para a conta de um usuário.
• Excluir um recurso instalado sem ser detectado.
“Alto-falantes inteligentes e assistentes virtuais são tão comuns que é muito fácil ignorar a quantidade de dados pessoais que eles possuem, bem como sua função no controle de outros dispositivos inteligentes em nossas casas. Os cibercriminosos, por outro lado, os veem como pontos de entrada para acessar a vida das pessoas, dando-lhes a oportunidade de obter os dados, escutar conversas ou realizar outras ações maliciosas sem que o proprietário perceba”, diz Oded Vanunu, chefe de pesquisa de vulnerabilidade de produto da Check Point.
Vanunu informa que os pesquisadores da Check Point conduziram esta pesquisa para ressaltar como a segurança desses dispositivos se tornou crucial para manter a privacidade do usuário. “Felizmente, a Amazon respondeu rapidamente para resolver essas vulnerabilidades. Esperamos que os fabricantes de dispositivos semelhantes sigam seu exemplo e verifiquem se seus produtos não abrigam vulnerabilidades que possam comprometer a privacidade do consumidor. Há muito tempo nos preocupamos com o Alexa, devido à sua onipresença e conexão com dispositivos IoT, e são essas mega plataformas digitais que podem causar danos maiores. Portanto, seus níveis de segurança são de fundamental importância”, ressalta Vanunu.
Os assistentes virtuais são usados em casas inteligentes para controlar dispositivos IoT do dia a dia, como luzes, aspiradores de pó, eletricidade e entretenimento. Eles cresceram em popularidade na última década para desempenhar um papel nas vidas diárias das pessoas, e, parece que à medida que a tecnologia evolui, eles se tornarão mais difundidos. Os dispositivos IoT são inerentemente vulneráveis e ainda carecem de segurança adequada, o que os torna alvos atraentes para os atacantes. Os cibercriminosos estão continuamente procurando novas maneiras de violar dispositivos ou de usá-los para infectar outros sistemas críticos.
Neste sentido, os pesquisadores da Check Point dão algumas dicas de segurança:
1) Evitar baixar aplicativos desconhecidos.
2) Pensar duas vezes antes de compartilhar: mantenha a atenção nas informações que são compartilhadas com o dispositivo, sobretudo se forem dados confidenciais (como senhas e credenciais bancárias, entre outros).
3) Ler as informações sobre os aplicativos que desejar baixar: é importante destacar que hoje praticamente qualquer pessoa pode criar um aplicativo para este tipo de assistente virtual. Por isso, é fundamental informar-se sobre o software antes de instalá-lo no dispositivo, assim como verificar as permissões que ele solicita. Além disso, é preciso ter em mente que esses aplicativos podem realizar determinadas ações para obter informações.
