Mantener la puerta cerrada en sus dispositivos de IoT: vulnerabilidades encontradas en Alexa de Amazon
Un asistente virtual inteligente (IVA) o asistente personal inteligente (IPA) es un agente de software que puede realizar tareas o servicios para una persona en función de comandos o preguntas. Amazon Alexa, comúnmente conocida como "Alexa" es un asistente virtual basado en inteligencia artificial desarrollado por Amazon, capaz de interacción de voz, reproducción de música, configuración de alarmas y otras tareas, incluido el control de dispositivos inteligentes como parte de un sistema de automatización del hogar. Los usuarios pueden ampliar las capacidades de Alexa mediante la instalación de "habilidades", una funcionalidad adicional desarrollada por proveedores externos que pueden considerarse aplicaciones, como programas meteorológicos y funciones de audio.
Dado que los asistentes virtuales hoy en día sirven como puntos de entrada a los electrodomésticos y controladores de dispositivos de las personas, asegurar estos puntos se ha vuelto fundamental, siendo la máxima prioridad mantener la privacidad del usuario. Este fue nuestro "punto de entrada" y motivación central al realizar esta investigación.
Nuestros hallazgos muestran que ciertos subdominios de Amazon / Alexa eran vulnerables a la mala configuración de Cross-Origin Resource Sharing (CORS) y Cross Site Scripting. Con XSS pudimos obtener el token CSRF y realizar acciones en nombre de la víctima.
Estas vulnerabilidades habrían permitido a un atacante:
- Instalar habilidades (aplicaciones) de forma silenciosa en la cuenta de Alexa de un usuario
- Obtenga una lista de todas las habilidades instaladas en la cuenta de Alexa del usuario
- Eliminar silenciosamente una habilidad instalada
- Obtenga el historial de voz de la víctima con su Alexa
- Obtener la información personal de la víctima
Editado por Aniceto Pérez y Madrid, Especialista en Ética de la Inteligencia Artificial y Editor de Actualidad Deep Learning (@forodeeplearn).
Los artículos publicados son incluidos por su estimada relevancia y no expresan necesariamente los puntos de vista del Editor este Blog.
Comentarios
Publicar un comentario