^
Alexa Echo

Alexa pozwalała napastnikom na dostęp do domów użytkowników Echo

Jaromir Kopp

17 sierpnia 2020

Analitycy z Check Point znaleźli w systemie Alexa całą paczkę poważnych i dość prostych w użyciu luk, które niestety pozwalały na przejęcie niemal całkowitej kontroli nad systemem inteligentnego domu (i nie tylko) użytkowników urządzeń Echo. Urządzenia zgodne z HomeKit nie były zagrożone.

Błędy w konfiguracji serwerów Alexa

Informacja biura prasowego Amazon na temat opisywanych podatności.

Badaczom z Check Point udało się za pomocą odkrytych podatności:

  • Instalować bez wiedzy użytkownika „Umiejętności” (aplikacje) Alexa na jego koncie.
  • Pobrać listę wszystkich zainstalowanych umiejętności z konta użytkownika Alexa.
  • Podmienić aplikację wywoływaną ustaloną wcześniej przez użytkownika komendą.
  • Po kryjomu usuwać zainstalowane umiejętności
  • Pobrać historię poleceń głosowych.
  • Pobrać dane osobowe ofiary.

Aby przejąć kontrolę nad kontem i urządzeniami ofiary, wystarczy, że kliknęła ona w spreparowany link. Atak wykorzystywał błędną konfigurację Cross-Origin Resource Sharing (CORS) i Cross Site Scripting. Za pomocą XSS udało się badaczom z Check Point zdobyć token CSRF i wykonać działania w imieniu użytkownika.

Atak pozwalał na przejęcie również kontroli nad urządzeniami domowymi sterowanymi przez Alexa, a nawet podsłuchiwanie odgłosów z pomieszczenia.

Błędy zostały zgłoszone w czerwcu i są już naprawione.

System Alexa bazuje niemal w całości na serwerach Amazona. Same urządzenia Echo nie są specjalnie „mocne”, bo zdecydowaną większość roboty odwala za nie chmura. Również urządzenia inteligentnego domu łączące się z Alexą nie mają wyrafinowanych zabezpieczeń, przez co są stosunkowo tanie.

Właśnie dlatego polecam i używam HomeKit Apple. Nie dość, że jego akcesoria działają bez dostępu do internetu, to przechodzą znacznie bardziej rygorystyczne testy poprzedzające certyfikację. Za komunikację ze światem odpowiadają znacznie lepiej wyposażone i posiadające znacznie bardziej bezpieczny i sprawdzony system Centra akcesoriów, czyli: Apple TV, HomePod, iPad. Komunikacja, jeżeli jesteśmy poza domem, odbywa się za pomocą iCloud.

Jeżeli chcecie dowiedzieć się więcej o możliwościach bezpiecznego HomeKit zapraszam do wysłuchania podcastu 4HomeKit, na grupę 4HomeKit oraz na stronę Apple-home.pl.

Jaromir Kopp

Użytkownik komputerów Apple od 1991 roku. Dziennikarz technologiczny, programista i deweloper HomeKit. Propagator przyjaznej i dostępnej technologii. Lubi programować w Swift i czystym C. Tworzy rozwiązania FileMaker. Prowadzi zajęcia z IT i programowania dla dzieci oraz młodzieży, szkoli też seniorów. Współautor serii książek o macOS wydanych przez ProstePoradniki.pl. Projektuje, programuje oraz samodzielnie wykonuje prototypy urządzeń Smart Home. Jeździ rowerem.
Komentarze (0)
L

0 komentarzy

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *