كشف الباحثون عن عيوب وثغرات أمنية في منصة المساعد الافتراضي Amazon Alexa قد تسمح للمهاجمين بالوصول إلى سجل البيانات المصرفية الخاصة بالمستخدمين وعناوين المنازل بشكل سهل، عن طريق إقناعهم بالنقر فوق رابط ضار.
وجد الباحثون عن الثغرات الأمنية في Check Point العديد من عيوب تطبيقات الويب على نطاقات Amazon Alexa الفرعية، بما في ذلك خطأ في البرمجة النصية عبر المواقع (XSS) والتهيئة الخاطئة لمشاركة الموارد عبر الأصل (CORS). يمكن للمهاجم استغلال نقاط الضعف هذه عن بُعد عن طريق إرسال رابط أمازون معد خصيصًا للضحية.
هذا وأجري البحث على Alexa بسبب وجودها في كل مكان واتصالها بأجهزة إنترنت الأشياء، وذلك لتسليط الضوء على مدى أهمية تأمين هذه الأجهزة ضد عمليات القرصنة للحفاظ على خصوصية المستخدمين. فالمنصات الرقمية الضخمة التي يتم الاتصال عبرها هي التي يمكن أن تؤذينا أكثر من غيرها. لذلك، تعد مستويات الأمان الخاصة بالأجهزة التي يتم استخدامها يوميا ذات أهمية كبيرة.
كشف الباحثون عن نتائج أبحاثهم إلى أمازون في يونيو 2020. وقد أصلحت أمازون المشكلات الأمنية فور ورودها.
عيوب Amazon Alexa
اختبر الباحثون تطبيق الهاتف المحمول الذي يتصل بـ Alexa. بعد استخدام برنامج إلغاء التثبيت Frida SSL لتجاوز آلية تثبيت SSL المطبقة لحماية حركة المرور، تمكنوا من اعتراض حركة المرور المنقولة بين التطبيق وجهاز Echo بشكل واضح.
من هنا، اكتشفوا أن العديد من الطلبات التي قدمها التطبيق تتضمن سياسة CORS مُهيأة بشكل خاطئ. CORS هي طريقة تسمح بطلب موارد على صفحات الويب معينة ومسموح بها خارج النطاق عبر XMLHttpRequest. ولكن عند التهيئة بشكل خاطئ، يمكن تجاوز هذه السياسة لإرسال طلبات من مجال يتحكم فيه طرف ضار.
قد يسمح هذا التكوين الخاطئ للمهاجمين بإرسال طلبات Ajax محددة من أي مجال فرعي آخر من Amazon. ويوضح الباحثون أنه من المحتمل أن يكون هذا قد سمح للمهاجمين بإمكانيات حقن التعليمات البرمجية في أحد نطاقات Amazon الفرعية لتنفيذ هجوم عبر المجالات على نطاق فرعي آخر من Amazon.
هجوم العالم الحقيقي
في هجوم العالم الواقعي، سيقنع الممثل السيئ مستخدم Alexa أولاً بالنقر فوق ارتباط ضار، والذي يوجهه بعد ذلك إلى Amazon، وبذلك يكون المهاجم قد امتلك إمكانات حقن التعليمات البرمجية. من هناك يمكن للمهاجم الحصول على قائمة بالتطبيقات المثبتة على Alexa والرمز المميز للمستخدم.
بعد ذلك يصبح المهاجمون قادرين على تثبيت وتمكين مهارات جديدة للضحية عن بعد. المهارات هي وظائف لـ Alexa، تم تطويرها بواسطة بائعين خارجيين، والتي يمكن اعتبارها تطبيقات، مثل برامج الطقس وميزات الصوت. بعد تنفيذ الهجوم الأولي، يمكن للقراصنة تثبيت المهارات أو إزالتها بصمت على حساب Alexa الخاص واسترداد قائمة بالمهارات المثبتة مسبقا على الحساب، من دون علم المستخدم.