Pesquisadores da Check Point detectaram vulnerabilidades críticas de segurança em determinados subdomínios da Alexa, assistente virtual da Amazon. As falhas teriam permitido a um hacker excluir e instalar recursos na conta Alexa da vítima e acessar seu histórico de voz e seus dados pessoais. Para que o ataque fosse concretizado, o usuário deveria clicar em um link malicioso criado pelo cibercriminoso, fingindo ser da Amazon, e que a vítima interagisse com o dispositivo por voz. O relatório completo está neste link.
Ao clicar no link, o usuário liberaria para o hacker o seguinte: extrair o histórico de voz de uma vítima com seu Alexa; instalar silenciosamente recursos (aplicativos) na conta da vítima; visualizar a lista completa de recursos da conta de um usuário; excluir um recurso instalado sem ser detectado.
A Check Point relatou as falhas à Amazon, que corrigiu logo após, em junho deste ano.
Em um comunicado, a Amazon agradece o trabalho da empresa de cibersegurança e confirma que não detectou casos da falha ter sido aproveitada por hackers. Confira a nota na íntegra:
“A segurança de nossos dispositivos é prioridade e agradecemos o trabalho de pesquisadores independentes como a Check Point, que nos trazem questões como essa. Corrigimos esse problema assim que tivemos conhecimento e continuamos a fortalecer ainda mais nossos sistemas. Não temos conhecimento de nenhum caso desta vulnerabilidade sendo usada contra nossos clientes ou de qualquer informação do cliente sendo exposta”.
