Vulnerabilidades de Alexa permitieron a hackers instalar habilidades maliciosas remotamente
¡Atención! Si usas el asistente de voz de Amazon, Alexa, en tus parlantes inteligentes, debes tener cuidado. Abrir un enlace web de apariencia inocente podría permitir a los atacantes instalar habilidades de hacking en él y espiar tus actividades de forma remota.
Investigadores de ciberseguridad de Check Point, Dikla Barda, Roman Zaikin y Yaara Shriki, revelaron graves vulnerabilidades de seguridad en el asistente virtual Alexa de Amazon. Las vulnerabilidades podrían hacerlo sensible a una serie de ataques maliciosos.
Según el informe publicado por Check Point Research, los “exploits podrían haber permitido a un atacante eliminar/instalar habilidades en la cuenta de Alexa de la víctima objetivo. También podrían acceder al historial de voz y adquirir información personal a través de la interacción de habilidades cuando el usuario invoca la habilidad”.
“Los altavoces inteligentes y los asistentes virtuales son tan comunes que es fácil pasar por alto la cantidad de datos personales que tienen. Asimismo, su función en el control de otros dispositivos inteligentes en nuestros hogares”. Esto según las afirmaciones de Oded Vanunu, jefe de investigación de vulnerabilidades de productos de Check Point Research
“Pero los hackers los ven como puntos de entrada en la vida de las personas. Los asistentes virtuales les dan la oportunidad de acceder a datos, escuchar conversaciones o realizar otras acciones maliciosas sin que el propietario se dé cuenta”.
Amazon corrigió las vulnerabilidades después de que los investigadores revelaran sus hallazgos a la compañía en junio de 2020.
Una vulnerabilidad XSS en uno de los subdominios de Amazon
Check Point dijo que las vulnerabilidades se debían a una política CORS mal configurada en la aplicación móvil Alexa de Amazon. La mala configuración permitía a los hackers con capacidades de inyección de código en un subdominio de Amazon realizar un ataque entre dominios. Esto en otro subdominio de Amazon.
Dicho de otra manera, la explotación exitosa habría requerido solo un clic en un enlace de Amazon. Un enlace diseñado especialmente por el atacante para dirigir a los usuarios a un subdominio de Amazon que es vulnerable a los ataques XSS.
Además, los investigadores encontraron que una solicitud para recuperar una lista de todas las habilidades instaladas en el dispositivo Alexa tenía un error. La solicitud devolvía un token CSRF en la respuesta.
El propósito principal de un token CSRF es evitar ataques de falsificación de solicitudes entre sitios. En este tipo de ataques un enlace o programa malicioso hace que el navegador web de un usuario autenticado realice una acción no deseada en un sitio web legítimo.
Esto sucede porque el sitio no puede diferenciar entre solicitudes legítimas y solicitudes falsificadas.
Pero con el token en posesión, un mal actor puede crear solicitudes válidas al servidor backend. Además, podría realizar acciones en nombre de la víctima, como instalar y habilitar una nueva habilidad para la víctima de forma remota.
Funcionalidad del ataque
En resumen, el ataque funciona al pedirle al usuario que haga clic en un enlace malicioso que navega a un subdominio de Amazon (“track.amazon.com”). El sitio tenía una vulnerabilidad XSS que se podía explotar para lograr la inyección de código.
Luego, el atacante lo usaría para activar una solicitud al subdominio “skillsstore.amazon.com”. Esto con las credenciales de la víctima para obtener una lista de todas las habilidades instaladas en la cuenta de Alexa y el token CSRF.
En la etapa final, el exploit captura el token CSRF de la respuesta y lo usa para instalar una habilidad con un ID de habilidad específica. La instalaría en la cuenta de Alexa del objetivo; así podría eliminar sigilosamente una habilidad instalada. También podría obtener el historial de comandos de voz de la víctima e incluso acceder a información personal almacenada en el perfil del usuario.
La necesidad de seguridad de IoT
Se espera que para el año 2025 el tamaño del mercado global de altavoces inteligentes alcance los $15.6 mil millones. Por lo tanto, la investigación es otra razón por la que la seguridad es crucial en el espacio de IoT.
A medida que los asistentes virtuales se vuelven más omnipresentes, se convierten cada vez más en objetivos lucrativos para los hackers. Hackers que buscan robar información confidencial e interrumpir los sistemas domésticos inteligentes.
“Los dispositivos de IoT son inherentemente vulnerables y aún carecen de la seguridad adecuada. Esto los convierte en objetivos atractivos para los actores de amenazas”, concluyeron los investigadores.
“Los ciberdelincuentes buscan continuamente nuevas formas de vulnerar los dispositivos o utilizarlos para infectar otros sistemas críticos. Tanto el puente como los dispositivos sirven como puntos de entrada. Deben mantenerse seguros en todo momento para evitar que los hackers se infiltran en nuestros hogares inteligentes”.