צ'ק פוינט לאמזון: מצאנו חולשת אבטחה באלקסה, נחשף מידע רגיש על משתמשים

החוקרים הישראלים מצאו כי פרצת האבטחה איפשרה לתוקפים אפשריים להשיג גישה לרשומות של השיחות והפקודות הקוליות שבוצעו באמצעות העוזרת הקולית של אמזון - ואף לבצע פעולות בשם המשתמשים ■ מצ'ק פוינט נמסר כי אמזון תיקנה את בעיות האבטחה

רפאלה גויכמן
רפאלה גויכמן
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקים
אלקסה
אלקסה של אמזוןצילום: Mike Stewart/אי־פי

צוות חוקרים של צ'ק פוינט גילה חולשות אבטחה במערכת הסיוע הקולי של אמזון, אלקסה - שחשפו מידע אישי רגיש של משתמשים. חולשות האבטחה איפשרו גישה להיסטוריית השיחות והפקודות הקוליות שביצעו המשתמשים באמצעות אלקסה; גישה למידע אישי שנמצא על התוכנה; ואת היכולת להפעיל את אלקסה מרחוק - להסיר יישומים שהותקנו על התוכנה, או לחילופין להתקין חדשים. החברה הודיעה כי פנתה לאמזון והציגה בפניה את הממצאים, מה שהוביל לתיקון בעיות האבטחה.

השימוש באלקסה, שמופעלת באמצעות פקודות קוליות, נעשה כיום בעיקר באמצעות הרמקולים והמכשירים שמייצרת אמזון. החברה שולטת בפער רב בתחום: לאלקסה 200 מיליון משתמשים ברחבי העולם, ויותר מ-60% מהרמקולים החכמים הנמכרים הם של ענקית הסחר המקוון. באחרונה הודתה החברה כי היא כלל לא נוהגת למחוק הקלטות של משתמשי אלקסה – אלא רק במקרה שהמשתמש יוזם זאת. אמזון דוהרת קדימה בפיתוח מוצרים שונים שמפעילים את אלקסה: לפני שנה הציגה החברה שורה של גאדג'טים לשימוש ביתי, לצד גאדג'טים לבישים כמו שעון, משקפיים וטבעת שמצוידים במיקרופון.

על פי חוקרי הצוות, דיקלה ברדה, רומן זאיקין ויערה שריקי, החולשה איפשרה להאקרים לשלוח למשתמש הודעה שמתחזה להודעה של אמזון ובה לינק, שבעקבות לחיצה עליו הם הצליחו לקבל גישה לתוכנה. הפרצה חשפה מידע כמו שמות משתמש, מספרי טלפון וכתובות מגורים.

אלקסה מתממשקת עם מוצרים רבים בבית החכם או במשרד, ולכן התוקפים הצליחו לקבל גם את כל היסטוריית השימושים שנעשו באמצעותה. יש לא מעט פעולות שאלקסה מסוגלת לבצע באמצעות פקודה קולית, כמו מענה לטלפון, הזמנת משלוחי מזון, השמעת מוזיקה, כניסה לחשבון בנק, הקראת יומן פגישות ועוד. אם לא די בכך, התוקפים קיבלו גישה לשינוי מרחוק של השימושים באלקסה – התקנת יישומים חדשים על התוכנה, ופעולות נוספות שהתבצעו בשם המשתמש.

עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט, הסביר שהמכשירים החכמים הפכו ליעד תקיפה פופולרי בגלל העלייה בשימוש בהם. "האקרים מחפשים גישה למידע כזה כל הזמן, לרגל אחרי אנשים ולבצע פעולות שיניבו להם רווח, ללא ידיעת הקורבנות", אמר. "לכן, אנו בודקים פלטפורמות פופולריות מעין אלו, שהופכות למשאב מידע עצום, ומקווים שיצרני פלטפורמות צרכניות יוודאו שהן מגנות באופן מספק על המידע האישי שנמצא עליהן".

הזינו שם שיוצג באתר
משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר TheMarker