Avec plus de 200 millions d’unités vendues dans le monde, Alexa. Au cours des deux dernières années, l’utilisation d’Alexa a quadruplé. À mesure que les gens l’utilisent de plus en plus, l’assistant vocal est mieux équipé pour répondre aux besoins de ses utilisateurs, notamment sous la forme de conversations plus concordantes. 750 000 développeurs participent aux cotés d’Amazon au développement des Skills.
Il est donc normal de découvrir des vulnérabilités d’une plate-forme qui s’impose dans les usages et dont les informations personnelles stockées dans les comptes Alexa des utilisateurs et l’utilisation de l’appareil comme contrôleur de domotique en font une cible attrayante pour les pirates.
Check Point a récemment identifié des vulnérabilités dans certains sous-domaines Amazon/Alexa qui pourraient permettre à un pirate de supprimer/installer des compétences sur le compte Alexa de la victime ciblée, d’accéder à son historique d’échanges vocaux et à ses données personnelles. L’attaque ne nécessiterait qu’un simple clic de la part de l’utilisateur sur un lien malveillant créé par le pirate, puis une interaction vocale.
Lorsque l’utilisateur clique sur le lien, le pirate peut alors :
La sécurisation de ces dispositifs est essentielle pour préserver la vie privée des utilisateurs. Heureusement, Amazon a réagi rapidement aux infos de Check Point pour corriger ces vulnérabilités dans les sous-domaines Amazon/Alexa. Espérons que les autres plates-formes suivront l’exemple d’Amazon et vérifieront que leurs produits ne présentent pas de vulnérabilités susceptibles de compromettre la vie privée des utilisateurs.