Помилка Amazon Alexa виявила голосові дані

"Алекса, хто втручається в мою систему?"

Більше 200 мільйонів власників Amazon Echo, Dot and Show, ймовірно, не отримають відповіді від популярних особистих помічників, але це питання, яке вони можуть почати задавати собі.

Дослідники охоронної фірми Check Point повідомили в четвер, що виявили помилку, яка дозволить хакерам отримувати дані голосової історії та встановлювати вміння Alexa або дії Google без відома користувача. Це означає, що розмови користувачів з Alexa про особисті дані можуть бути отримані та використані для проникнення на їхні пристрої Amazon.

Check Point пояснив, що після отримання особистих даних хакер може постати як законний користувач, видалити встановлений вміння та замінити його докторованою версією, що містить шкідливий код. У свою чергу, після активації зараженої програми хакер може отримати конфіденційні дані користувачів, підслуховуючи розмови. Така інформація може включати фінансові трансакції, дані про стан здоров'я або обмін особистого характеру, до яких користувач може залучатись через запити Amazon.

Один із підходів, який хакер може використати, — це створити законний посилання на сайт, який використовується для відстеження пакетів Amazon. Користувач, який нічого не підозрює, натиснувши на посилання, забезпечить вхід для хакера для обміну встановленими навичками зі шкідливими.

"Розумні динаміки та віртуальні помічники настільки звичні, що легко не помітити, скільки особистих даних вони мають, і їх роль у контролі інших розумних пристроїв у наших будинках", — сказав Одід Вануну, керівник дослідження вразливості продуктів Check Point. "Але хакери розглядають їх як точки входу в життя людей, надаючи їм можливість отримувати доступ до даних, підслуховувати розмови або проводити інші шкідливі дії, не знаючи власника. Ми провели це дослідження, щоб висвітлити, як безпека цих пристроїв є критично важливою для підтримки користувачів" конфіденційність ".

Amazon заявив, що усунув уразливі місця і висловив сумніви, що будь-які фактичні порушення відбулися. Банківська інформація, така як залишки, редагується з журналів Alexa, додав Amazon.

Check Point визнав, що Amazon не записує облікові дані для входу в банк, і наголосив, що всі програми чи вміння в магазині Amazon перевіряються на предмет потенційно зловмисної поведінки. Але Check Point зазначила, що взаємодія реєструється, включаючи банківські завдання, тому деякі дані можуть бути порушені. Посилаючись на свої результати досліджень, Check Point сказала: "Ми також можемо отримати імена користувачів та номери телефонів, залежно від навичок, встановлених на обліковому записі Alexa користувача".

Тим часом, представник Amazon сказав: "Нам невідомі випадки використання цієї вразливості стосовно наших клієнтів або будь-якої інформації про клієнтів, що піддаються впливу".

Amazon за замовчуванням зберігає записи голосових транзакцій із пристроями Echo як частину своїх зусиль із штучного інтелекту. Працівники Amazon також можуть слухати ці біржі. Користувачі можуть заборонити доступ до цих розмов через додаток Alexa. Крім того, користувачі можуть налаштувати Echo на автоматичне видалення голосової історії кожні три або 18 місяців. Бажаючі частіші стирання можуть робити це вручну, кожен день або тиждень.

Слід зазначити, що Amazon повідомляв, що зберігає стенограми деяких розмов напередодні після видалення звуку.

Facebook Comments