I ricercatori di Check Point Research hanno scoperto diverse vulnerabilità in Amazon Alexa, il popolare assistente personale che viene utilizzato da milioni di persone nel mondo per eseguire diverse operazione tramite comandi vocali. Il grave problema di sicurezza, segnalato lo scorso mese di giugno, è stato prontamente risolto dall’azienda di Seattle.
La scoperta è stata effettuata durante l’uso dell’app Alexa. Le vulnerabilità, presenti in alcuni sottodomini Amazon/Alexa, erano dovuti ad un errata configurazione della policy CORS (Cross-Origin Resource Sharing) che consentiva di inviare richieste Ajax da altri sottodomini Amazon. Una di queste richieste permetteva di ottenere l’elenco delle skill installate e il token CSRF (Cross Site Request Forgery) tramite un attacco XSS (Cross Site Scripting).
Utilizzando il token era possibile eseguire azioni all’insaputa della vittima, ad esempio rimuovere una skill e installarne un’altra con lo stesso comando di attivazione, ma che esegue azioni più pericolose, come l’accesso alla cronologia vocale e a vari dati personali (indirizzo, username e numero di telefono). Per eseguire l’attacco, un malintenzionato deve solo convincere l’utente a cliccare su un link fasullo che sembra provenire da Amazon.
Come detto, le vulnerabilità sono state prontamente risolte, ma la scoperta di Check Point Research evidenzia il rischio associato all’uso degli assistenti personali. Teoricamente sarebbe possibile eseguire comandi da remoto per accedere al sistema di videosorveglianza oppure attivare l’apertura di una serratura smart. Basta poco per trasformare una comodità in un incubo. I ricercatori sperano che anche altri produttori risolvano eventuali problemi di sicurezza con la stessa rapidità di Amazon.