Découverte de vulnérabilités sur Alexa

Des chercheurs ont démontré comment des pirates pourraient supprimer/installer des compétences sur le compte Alexa d'une victime, accéder à l'historique de ses échanges vocaux et à ses informations personnelles.

Avec plus de 200 millions d’unités vendues dans le monde, Alexa. Au cours des deux dernières années, l’utilisation d’Alexa a quadruplé. À mesure que les gens l’utilisent de plus en plus, l’assistant vocal est mieux équipé pour répondre aux besoins de ses utilisateurs, notamment sous la forme de conversations plus concordantes. 750 000 développeurs participent aux cotés d’Amazon au développement des Skills.

Il est donc normal de découvrir des vulnérabilités d’une plate-forme qui s’impose dans les usages et dont les informations personnelles stockées dans les comptes Alexa des utilisateurs et l’utilisation de l’appareil comme contrôleur de domotique en font une cible attrayante pour les pirates.

Check Point a récemment identifié des vulnérabilités dans certains sous-domaines Amazon/Alexa qui pourraient permettre à un pirate de supprimer/installer des compétences sur le compte Alexa de la victime ciblée, d’accéder à son historique d’échanges vocaux et à ses données personnelles. L’attaque ne nécessiterait qu’un simple clic de la part de l’utilisateur sur un lien malveillant créé par le pirate, puis une interaction vocale.

Lorsque l’utilisateur clique sur le lien, le pirate peut alors :

• Accéder aux informations personnelles de la victime, telles que l’historique des données bancaires, les noms d’utilisateur, les numéros de téléphone et l’adresse du domicile
• Extraire l’historique des échanges vocaux de la victime avec son dispositif Alexa
• Installer silencieusement des compétences (applications) sur le compte Alexa de la victime
• Consulter la liste complète des compétences de son compte Alexa de la victime
• Supprimer silencieusement une compétence installée

La sécurisation de ces dispositifs est essentielle pour préserver la vie privée des utilisateurs. Heureusement, Amazon a réagi rapidement aux infos de Check Point pour corriger ces vulnérabilités dans les sous-domaines Amazon/Alexa. Espérons que les autres plates-formes suivront l’exemple d’Amazon et vérifieront que leurs produits ne présentent pas de vulnérabilités susceptibles de compromettre la vie privée des utilisateurs.