Исследователи компании Check Point выявили опасную уязвимость голосового помощника Alexa от Amazon. Только «умные колонки» Echo и Echo Dot, использующие Alexa, успели приобрести более 200 миллионов человек во всем мире, а потому потенциальный масштаб угрозы представляется весьма серьезным. При этом уязвимость выявлена не в самих устройствах или алгоритмах Alexa, она затрагивает используемые сервисом поддомены Amazon, такие, как, например, track.amazon.com.
Специалисты Check Point смогли осуществить атаку по типу межсайтового скриптинга и извлечь аутентификационные токены Alexa, которые служат для идентификации того или иного пользователя. Это не первый случай обнаружения уязвимостей в голосовом помощнике от Amazon. Но практически во всех предыдущих ситуациях эксплуатация уязвимостей требовала физического взаимодействия с устройством или хотя бы нахождения в непосредственной близости от него. В данном же случае хакер может подключиться к серверам, выдав себя за любого пользователя и находясь при этом сколь угодно далеко от него. Атака открывает возможность добавления или отключения функций Alexa, но более существенной представляется другая угроза. Злоумышленник получает доступ к истории «общения» пользователя с голосовым помощником. А эти аудиозаписи могут хранить финансовую информацию, медицинские сведения и другие весьма конфиденциальные данные.
Уязвимость была выявлена еще в июне. Эксперты Check Point незамедлительно уведомили о ней компанию Amazon и раскрыли данные о проблеме только сейчас, после того, как она была устранена. Свидетельств эксплуатации уязвимости в реальных атаках не обнаружено. Однако пользователям Alexa, возможно, стоит задуматься над тем, чтобы периодически удалять историю «бесед» с ней.