AfterDawn logo

Amazon Alexa -virtuaaliavustajasta löytyi salakuuntelun mahdollistava tietoturva-aukko

Janne Yli-Korhonen Janne Yli-Korhonen

Tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on löytänyt tietyissä Amazon/Alexa -aliverkkotunnuksissa tietoturva-aukkoja. Amazon on jo korjannut ongelman, joista Check Point Research raportoi kesäkuussa 2020.

Alexa-virtuaaliavustaja tukee puhekomentoja, joiden avulla voidaan esimerkiksi toistaa musiikkia, hallita kodin muita älylaitteita sekä asettaa hälytys. Lisäksi käyttäjät voivat kehittää Alexalle erilaisia "taitoja", jotka ovat ääniohjattuja sovelluksia.

Löydettyjen tietoturva-aukkojen avulla hakkerit ovat voineet poistaa tai asentaa taitoja uhrin Alexa-tilille. Tällaisen toiminnan avulla hakkerit pääsevät käsiksi uhrin äänihistoriaan ja henkilökohtaisiin tietoihin.


Check Pointin tutkijoiden mukaan haavoittuvuuksia hyödynnettiin lähettämällä uhrille linkki, joka näyttää tulevan Amazonilta.

Jos käyttäjä on klikannut linkkiä, hyökkääjä on voinut päästä käsiksi muun muassa käyttäjän henkilökohtaisiin tietoihin (pankkitietohistoria, käyttäjätunnusta, puhelinnumero ja kotiosoite) ja Alexan puhehistoriaan. Lisäksi hyökkääjä on voinut asentaa taitoja sekä poistaa niitä.

"Älykaiuttimet ja virtuaaliavustajat ovat niin arkipäiväisiä, että on helppo jättää huomiotta niiden rooli kodin älylaitteiden hallinnassa sekä se, kuinka paljon henkilökohtaista tietoa ne sisältävät. Mutta hakkerit näkevät ne pääsynä ihmisten elämään ja mahdollisuutena saada tietoja, salakuunnella keskusteluja tai tehdä muuta haittaa omistajan tietämättä", kertoo Oded Vanunu, Check Pointin Head of Products Vulnerabilities Research.

"Teimme tämän tutkimuksen tuodaksemme esiin, kuinka kriittistä näiden laitteiden turvaaminen on käyttäjien yksityisyyden säilyttämiseksi. Onneksi Amazon reagoi ilmoitukseemme nopeasti ja korjasi haavoittuvuudet. Toivomme, että vastaavien laitteiden valmistajat seuraavat Amazonin esimerkkiä ja tarkistavat tuotteensa haavoittuvuuksien varalta, jottei käyttäjien yksityisyys vaarannu. Aiemmin olemme tutkineet TikTokia, WhatsAppia ja Fortniteä. Alexa on huolettanut meitä jo jonkin aikaa, kun otetaan huomioon sen yleisyys ja yhteys IoT-laitteisiin. Juuri nämä mega-digitaaliset alustat voivat aiheuttaa eniten vahinkoa. Siksi niiden tietoturvatasolla on ratkaiseva merkitys", Vanunu jatkaa.

Lisätietoa aiheesta saa Check Point Researchin blogista.

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT

Seuraa! Kirjekuoren symboli
Uutiskirje
Threadsin logo
Threads
Blueskyn logo
Bluesky
Mastodonin logo
Mastodon
Sulje palkki