חוקרי אבטחת המידע של חברת צ'ק פוינט, חשפו פרצת אבטחה משמעותית באלקסה, העוזרת הקולית מבית אמזון, כך נמסר היום (חמישי) מהחברה. האלקסה נחשבת לאחד ממכשירי ה-IoT הפופולריים בעולם, עם למעלה מ-200 מליון משתמשים ברחבי העולם, כולל בישראל.
אלקסה מסוגלת לייצר מנעד רחב מאוד של פעולות - החל מהפעלה מרחוק של פעולות בבית או במשרד, ועד לביצוע פעולות בחשבון הבנק או באתרים אחרים. כמו כן, המשתמשים בעוזרת הקולית יכולים לבחור ביישומים ובפעולות שניתן לבצע באמצעות הפעלה קולית. כאמור, מסיבות אלה ואחרות, אלקסה מכילה מידע אישי רב על משתמשיה, דבר שהופך אותה למטרה איכותית להאקרים.
החוקרים דיקלה ברדה, רומן זאיקין ויערה שריקי, ציינו כי בכדי לנצל את החולשות הללו האקר יכול היה לשלוח הודעה עם לינק זדוני לקורבן באופן שנראה שנשלח מאמזןן, זאת דרך ממשקי ההפעלה של אלקסה. בלחיצה על הלינק, האקרים יכלו להשיג את היכולות רבות, ללא ידיעת הקורבן:
- גישה למידע האישי שנמצא על המכשיר, ובכלל זאת היסטוריית פעולות בנקאיות, שם משתמש, טלפונים וכתובת מגורים.
- גישה לפקודות הקוליות שבוצעו דרך המכשיר.
- התקנה של יישומים חדשים על אלקסה.
- הסרה של יישומים מהמכשיר
צ'ק פוינט פנתה לאמזון עם הממצאים והחברה תיקנה את החולשות האמורות.
עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט ציין כי "מכשירים דיגיטליים הפכו לחלק בלתי נפרד מהחיים שלנו, ולעיתים אנחנו לא מרגישים עד כמה הם אוגרים מידע רגיש עלינו. האקרים מחפשים גישה למידע כזה כל הזמן, לרגל אחרי אנשים ולבצע פעולות שיניבו רווח להאקרים ללא ידיעת הקורבנות. לכן, אנו בודקים פטלפורמות פופולריות מעין אלו שהופכות למשאב מידע עצום". הוא הוסיף: "לשמחתנו, אמזון הגיבו במהירות לממצאים שלנו ותיקנו אותם, ואנו מקווים שיצרנים נוספים של פלטפורמות צרכניות יוודאו שהן שומרות באופן מספק על המידע האישי שנמצא עליהן".