Uma falha nos dispositivos domésticos inteligentes da Amazon, Alexa, poderia ter facilitado o acesso de informações pessoais e histórico de conversas por hackers. Os invasores podem instalar ou remover aplicativos em um dispositivo sem que o proprietário saiba, relata a Check Point Research, responsáveis por pesquisas de segurança virtual.
O hack "exigia apenas um clique em um link da Amazon" criado propositalmente pelo invasor, afirmam pesquisadores. A empresa contou à Amazon sobre a falha, que agora foi corrigida. A Amazon respondeu que "A segurança de nossos dispositivos é uma prioridade e agradecemos o trabalho de pesquisadores independentes como a Check Point, que trazem possíveis problemas para nós." Ela disse não saber de nenhum caso em que um malfeitor tenha usado a vulnerabilidade para atingir seus clientes.
Em janeiro, a Amazon disse que havia "centenas de milhões" de dispositivos Alexa no mundo. O hack exigia a criação de um link malicioso da Amazon, que seria enviado a um usuário desavisado. Depois de clicar no link, o invasor pode obter uma lista de todas as "habilidades" instaladas do Alexa - ou aplicativos - e roubar um token que permite adicionar ou remover habilidades.
Uma maneira de usar a falha seria remover uma habilidade e depois instalar uma habilidade maliciosa que usa a mesma "frase de invocação" - a série de palavras faladas usada para acioná-la. Isso poderia ter sido feito sem o conhecimento do usuário.
Na próxima vez que o usuário tentar ativar essa habilidade, ele executará o aplicativo do invasor. Os invasores teriam sido capazes de ver o histórico de voz de Alexa - um registro de conversas entre o usuário e o dispositivo.
A Check Point disse que isso pode criar grandes problemas, apontando para as habilidades bancárias que permitem ao usuário verificar o saldo da conta. "Isso pode levar à exposição de informações pessoais, como histórico de dados bancários", argumentaram - embora não salve os detalhes de login bancário.
A Amazon se opôs a esta sugestão, no entanto, dizendo que as informações bancárias - como saldos - foram editadas no registro das respostas de Alexa, portanto, não poderiam ter sido acessadas. O ataque também permitiria o acesso a informações pessoais no perfil da Amazon, como um endereço residencial, disse a Check Point.
Felizmente não houve registros de ataques que se aproveitaram da falha e o problema foi descoberto e resolvido.