Check Point Research weist in einem neuen Bericht darauf hin, dass der digitale Assistent von Amazon Alexa bis vor kurzem mehrere Sicherheitslücken hatte. Dies ermöglichte es Alexa, ein Tor für Angreifer zu werden. Beispielsweise könnten bei einem erfolgreichen Angriff Dritte Zugriff auf Bankdaten, Telefonnummern und Privatadressen erhalten haben.
Alle Sprachaufnahmen aus der Alexa-Geschichte hätten auch angehört werden können. Darüber hinaus hätte es die Möglichkeit gegeben, unbemerkt Fähigkeiten zu installieren, die Zugriffsberechtigungen und Funktionen eines Alexa-Benutzerkontos anzuzeigen sowie die Berechtigung, Anwendungen unbemerkt zu installieren oder zu deinstallieren.
Wie ist das passiert? Check Point Research ergab, dass bestimmte Amazon- und Alexa-Subdomains anfällig für fehlerübergreifende Fehlkonfigurationen (CORS) und Cross-Site-Scripting (CSS) sind. Die Verwendung von XSS ermöglichte es den Ermittlern auch, das CSRF-Token abzufangen und im Namen des Opfers Maßnahmen zu ergreifen. Ein Angriff erforderte nur einen Klick auf einen angeblichen Amazon-Link, der vom Angreifer erstellt wurde, um erfolgreich zu sein.
Check Point informierte Amazon über die Ergebnisse und die Schwächen der Subdomains. Sie wurden inzwischen entsprechend geschlossen. Es bleibt abzuwarten, ob die Sicherheitslücken in der Vergangenheit ausgenutzt wurden. Folgende Angriffssequenz wäre möglich gewesen:
- Ein Alexa-Benutzer klickt auf einen gefälschten Link, der ihn zu Amazon führt und dem Angreifer die Möglichkeit gibt, bösartigen Code auszuführen.
- Der Angreifer erhält eine Liste aller auf dem Alexa-Konto installierten Anwendungen und das CRF-Token des Benutzers.
- Der Angreifer kann jetzt eine oder mehrere Anwendungen vom Benutzer entfernen.
- Anschließend installiert der Angreifer eine gefälschte Anwendung mit demselben Spitznamen wie die entfernte.
- Sobald der Benutzer es per Sprachbefehl aufruft und dadurch die Hacker-App aktiviert, ermöglicht er dem Angreifer, über Alexa verschiedene Aktionen auszuführen und sozusagen das Konto zu übernehmen.
Nun, hässliches Geschäft, werde ich sagen. Wenn Sie mehr über die Angriffsoptionen und den gesamten technischen Hintergrund erfahren möchten, sollten Sie sich die Quelle ansehen.
Freiberuflicher Alkoholiker. Begeisterter Webfanatiker. Subtil charmanter Zombie-Junkie. Ergebener Leser.
You may also like
-
Graz in Österreich testet intelligente Verkehrssensoren von LMT / Artikel
-
Bosnien sucht österreichische Unterstützung für Frontex-Statusabkommen – EURACTIV.com
-
Die österreichische Zentralbank senkt die BIP-Wachstumsprognose für 2016 und 2017
-
Österreich verabschiedet Resolution, die Holodomor in der Ukraine als „entsetzliches Verbrechen“ bezeichnet; Russland reagiert
-
Die österreichische Zentralbank prognostiziert für 2023 eine leichte Rezession und dann ein Wachstum von 0,6 %