Alexa : un sous-domaine vulnerable ouvrait la porte aux attaques

Alexa : un sous-domaine vulnerable ouvrait la porte aux attaques

L’assistant vocal Alexa d’Amazon pourrait être exploité pour transmettre les données des utilisateurs en raison des failles de sécurité dans les sous-domaines du service.

Cet assistant intelligent, que l’on trouve dans des appareils tels que l’Amazon Echo et l’Echo Dot était vulnérable aux attaquants qui cherchaient des données personnelles et des enregistrements vocaux.

publicité

Check Point Research a déclaré jeudi que les problèmes de sécurité étaient dus aux sous-domaines d’Amazon Alexa susceptibles de faire l’objet d’une mauvaise configuration du type Cross-Origin Resource Sharing (CORS) et d’attaques de type cross-site scripting (XSS).

Lorsque Check Point a commencé à examiner l’application mobile Alexa, la société a remarqué l’existence d’un mécanisme SSL qui empêche l’inspection du trafic. Cependant, le script utilisé pouvait être contourné en utilisant le script universel de déblocage SSL de Frida.

Réaction en chaîne

Cela a conduit à la découverte de la mauvaise configuration de la politique CORS par l’application, qui a permis d’envoyer des requêtes Ajax à partir de sous-domaines Amazon.

Si un sous-domaine était jugé vulnérable à l’injection de code, une attaque XSS pouvait être lancée, et celle-ci était réalisée via track.amazon.com et skillsstore.amazon.com.

Selon Check Point, il suffirait à une victime de cliquer sur un lien malveillant pour exploiter les vulnérabilités. Une victime redirigée vers un domaine par le biais d’une attaque de phishing, par exemple, pourrait être soumise à une injection de code et au vol de ses cookies liés à Amazon.

Un attaquant pourrait alors utiliser ces cookies pour envoyer une requête Ajax au magasin de “skills” (ndlr : le nom des applications sur la plateforme Alexa) Amazon, dont la requête renverrait une liste de toutes les Skills installées dans le compte Alexa Amazon de la victime.

En lançant une attaque XSS, les chercheurs ont également pu acquérir des tokens CSRF et, par conséquent, effectuer des actions tout en se faisant passer pour la victime. Cela pourrait inclure la suppression ou l’installation de skills Alexa, voire leur remplacement par des skills modifiées par les attaquants.

Si une victime déclenche involontairement cette nouvelle skill, les agresseurs peuvent accéder aux enregistrements de l’historique vocal, ainsi qu’abuser des interactions entre les skills pour récolter des informations personnelles.

Au cours des tests, Check Point a trouvé des numéros de téléphone, des adresses de domicile, des noms d’utilisateur et des historiques de données bancaires qui pourraient théoriquement être volés.

“Amazon n’enregistre pas vos identifiants bancaires, mais vos interactions sont enregistrées, et puisque nous avons accès à l’historique des conversation, nous pouvons accéder aux interactions de la victime avec la skill bancaire et obtenir l’historique de ses données”, explique l’équipe. “Nous pouvons également obtenir des noms d’utilisateurs et des numéros de téléphone, en fonction des skills installées sur le compte Alexa de l’utilisateur”.

Check Point a également fourni un code de preuve de concept (PoC).

L’abus de skills est une forme d’attaque intéressante et un moyen potentiel pour les cyberattaquants d’entrer dans nos foyers, bien que la fenêtre de temps avant que les skills malveillantes ne soient repérées et supprimées puisse être courte.

“Il est important de noter qu’Amazon effectue des examens de sécurité dans le cadre de la certification des skills, et surveille continuellement les skills en direct pour détecter les comportements potentiellement malveillants”, affirment les chercheurs. “Toute skill malveillante qui est identifiée est bloquée pendant la certification ou rapidement désactivée”.

Les chercheurs de Check Point ont révélé leurs conclusions en privé à Amazon en juin, et les problèmes de sécurité ont maintenant été réglés.

“Nous avons mené cette recherche pour mettre en évidence à quel point la sécurisation de ces dispositifs est essentielle pour préserver la vie privée des utilisateurs”, a commenté Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point. “Heureusement, Amazon a réagi rapidement à notre divulgation pour combler ces vulnérabilités sur certains sous-domaines d’Amazon/Alexa. Nous espérons que les fabricants de dispositifs similaires suivront l’exemple d’Amazon et vérifieront que leurs produits ne présentent pas de vulnérabilités susceptibles de compromettre la vie privée des utilisateurs”.

“La sécurité de nos appareils est une priorité absolue, et nous apprécions le travail de chercheurs indépendants comme Check Point qui nous font part de problèmes potentiels”, a déclaré un porte-parole d’Amazon au ZDNet. “Nous avons réglé ce problème peu après qu’il ait été porté à notre attention, et nous continuons à renforcer nos systèmes. Nous n’avons connaissance d’aucun cas d’utilisation de cette vulnérabilité contre nos clients ou d’exposition d’informations sur les clients”.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *