0

  • Votre panier est vide.

  • LOGIN

Les vulnérabilités d’Amazon Alexa pourraient divulguer les données sensibles des utilisateurs aux pirates informatiques

Certains articles de veille peuvent faire l'objet de traduction automatique.

Les chercheurs ont découvert de nombreuses vulnérabilités de sécurité affectant l’assistant domestique Amazon Alexa. L’exploitation des vulnérabilités pourrait divulguer des détails sensibles des utilisateurs aux pirates. Cependant, cela ne reste plus exploitable car Amazon a déjà déployé les correctifs.

Vulnérabilités d’Amazon Alexa

L’équipe de sécurité de Check Point Research a partagé des détails sur sa récente découverte de vulnérabilités dans Amazon Alexa.

Élaborer les résultats dans un article de blog, ils ont révélé avoir découvert deux vulnérabilités différentes dans Amazon Alexa. Celles-ci incluent une mauvaise configuration du partage de ressources inter-origines (CORS) et des scripts intersites (XSS). De plus, la faille XSS pourrait conduire à CSRF.

En bref, l’exploitation de ces vulnérabilités pourrait conduire à des résultats dévastateurs. Étant donné qu’Alexa détient beaucoup d’informations sur les utilisateurs, un attaquant pourrait facilement accéder à toutes les données sensibles en exploitant les failles. En outre, une telle attaque pourrait permettre à un attaquant de se mêler des compétences, ce qui inclut même la suppression ou l’installation de compétences.

Comme démontré, l’attaquant a simplement eu besoin d’exploiter le XSS dans l’un des sous-domaines d’Amazon. Par conséquent, les chercheurs ont effectué l’attaque via track.amazon.com et skillsstore.amazon.com.

Pour une attaque réussie, un attaquant pourrait simplement inciter l’utilisateur à cliquer sur un lien malveillant. Le lien redirigerait alors l’utilisateur vers un sous-domaine Amazon déjà infecté par un code malveillant.

Ensuite, envoyer une requête AJAX avec des cookies pour accéder à la page de compétences Amazon Alexa permettrait alors de saisir le jeton CSRF. À partir de ce moment, un attaquant pourrait se mêler des compétences nécessaires pour mener des activités malveillantes, y compris le vol de données et d’historique vocal.

Les chercheurs ont partagé les détails de l’exploit dans cette vidéo.

Amazon a corrigé les bogues – Aucun exploit confirmé

Suite à la découverte, les chercheurs ont informé Amazon des failles. À son tour, Amazon a corrigé les bogues avant toute exploitation active. Un porte-parole d’Amazon a également confirmé la même chose dans la déclaration suivante.

La sécurité de nos appareils est une priorité absolue et nous apprécions le travail de chercheurs indépendants comme Check Point qui nous apportent des problèmes potentiels. Nous avons résolu ce problème peu de temps après qu’il a été porté à notre attention, et nous continuons à renforcer nos systèmes. Nous n’avons connaissance d’aucun cas d’utilisation de cette vulnérabilité contre nos clients ou de divulgation d’informations sur les clients.

Néanmoins, cette découverte a une fois de plus soulevé des questions sur la sécurité des appareils IoT. De la sécurisation des réseaux WiFi à la correction des bugs, l’IoT nécessite une attention particulière de la part des fournisseurs et des clients pour appliquer les meilleures pratiques qui minimisent l’exploitation potentielle.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

septembre 4, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)