Alexa pozwalała napastnikom na dostęp do domów użytkowników Echo

Analitycy z Check Point znaleźli w systemie Alexa całą paczkę poważnych i dość prostych w użyciu luk, które niestety pozwalały na przejęcie niemal całkowitej kontroli nad systemem inteligentnego domu (i nie tylko) użytkowników urządzeń Echo. Urządzenia zgodne z HomeKit nie były zagrożone.

Błędy w konfiguracji serwerów Alexa

Informacja biura prasowego Amazon na temat opisywanych podatności.

Badaczom z Check Point udało się za pomocą odkrytych podatności:

• Instalować bez wiedzy użytkownika „Umiejętności” (aplikacje) Alexa na jego koncie.
• Pobrać listę wszystkich zainstalowanych umiejętności z konta użytkownika Alexa.
• Podmienić aplikację wywoływaną ustaloną wcześniej przez użytkownika komendą.
• Po kryjomu usuwać zainstalowane umiejętności
• Pobrać historię poleceń głosowych.
• Pobrać dane osobowe ofiary.

Aby przejąć kontrolę nad kontem i urządzeniami ofiary, wystarczy, że kliknęła ona w spreparowany link. Atak wykorzystywał błędną konfigurację Cross-Origin Resource Sharing (CORS) i Cross Site Scripting. Za pomocą XSS udało się badaczom z Check Point zdobyć token CSRF i wykonać działania w imieniu użytkownika.

Atak pozwalał na przejęcie również kontroli nad urządzeniami domowymi sterowanymi przez Alexa, a nawet podsłuchiwanie odgłosów z pomieszczenia.

Błędy zostały zgłoszone w czerwcu i są już naprawione.

System Alexa bazuje niemal w całości na serwerach Amazona. Same urządzenia Echo nie są specjalnie „mocne”, bo zdecydowaną większość roboty odwala za nie chmura. Również urządzenia inteligentnego domu łączące się z Alexą nie mają wyrafinowanych zabezpieczeń, przez co są stosunkowo tanie.

Właśnie dlatego polecam i używam HomeKit Apple. Nie dość, że jego akcesoria działają bez dostępu do internetu, to przechodzą znacznie bardziej rygorystyczne testy poprzedzające certyfikację. Za komunikację ze światem odpowiadają znacznie lepiej wyposażone i posiadające znacznie bardziej bezpieczny i sprawdzony system Centra akcesoriów, czyli: Apple TV, HomePod, iPad. Komunikacja, jeżeli jesteśmy poza domem, odbywa się za pomocą iCloud.

Jeżeli chcecie dowiedzieć się więcej o możliwościach bezpiecznego HomeKit zapraszam do wysłuchania podcastu 4HomeKit, na grupę 4HomeKit oraz na stronę Apple-home.pl.