Les chercheurs de Check Point ont découvert des vulnérabilités dans certains sous-domaines Amazon/Alexa qui pourraient être exploitées par des hackers. Des vulnérabilités qui peuvent potentiellement toucher 200 millions d’utilisateurs à travers le monde. Rien ne dit qu’elles nesont pas déjà utiliséespar des hackers infiltrés et furtifs afin de récolter le maximum d’informations. Soulignons d’emblée qu’Amazon, prévenu de la vulnérabilité, a promptement corrigé celle-ci.
Cet incident souligne un fait que les utilisateurs ont tendance à négliger : la quantité phénoménale de données personnelles engrangées par les assistants virtuels en fait des cibles privilégiées par les hackers. Les attaques sur les assistants virtuels sont les compléments naturels de l’hameçonnage pour récolter des informations, afin de préparer des attaques sur des individus ou sur des entreprises.
« Les pirates les considèrent comme des points d’entrée dans la vie des gens, pour accéder à des données, écouter des conversations ou effectuer d’autres actions malveillantes à l’insu de leur propriétaire », déclare OdedVanunu, responsable des recherches sur les vulnérabilités des produits chez Check Point.
Un accès ouvert aux données de l’utilisateur
En créant et en envoyant un lien malveillant, qui semble provenir d’Amazon, un cybermalfaiteur peut, en utilisant cette vulnérabilité,supprimer/installer des compétences sur le compte Alexa de la victime ciblée, d’accéder à son historique d’échanges vocaux et à ses données personnelles. L’attaque ne nécessiterait qu’un simple clic de la part de l’utilisateur sur ce lien malveillant puis une interaction vocale.
Lorsque l’utilisateur clique sur le lien, le pirate peut alors accéder aux informations personnelles de la victime, telles que l’historique des données bancaires, les noms d’utilisateur, les numéros de téléphone et l’adresse du domicile ; extraire l’historique des échanges vocaux de la victime avec son dispositif Alexa ;installer silencieusement des compétences (applications) sur le compte Alexa de la victime ; consulter la liste complète des compétences de son compte Alexa de la victime, etsupprimer silencieusement une compétence installée.