Oto najważniejsze zagrożenia generatywnej sztucznej inteligencji. Zero Trust AI przyszłością.
8 kwietnia 2024
Technologia
13.08.2020
Wirtualny asystent Amazona z lukami bezpieczeństwa! Zagrożonych było ponad 200 mln urządzeń.
O bezpieczeństwie wirtualnego asystenta Amazona – Aleksy, spekuluje się od czasu premiery. Tymczasem badacze z firmy Check Point potwierdzili poważne podatności pozwalające przejąć hakerom pełną kontrolę nad kontem użytkowników.
Już ponad 200 milionów głośników z wirtualnym asystentem Alexa wspiera użytkowników na całym świecie na podstawie poleceń głosowych. Inteligentny asystent jest w stanie m.in. tworzyć notatki, zamawiać pizzę lub sterować inteligentnym domem. Co więcej, użytkownicy rozszerzają możliwości Aleksy, instalując dodatkowe funkcje opracowane przez zewnętrznych dostawców. Biorąc pod uwagę popularność i wszechobecność rozwiązania, analitycy Check Point postanowili zbadać czy urządzenie wykorzystujące sztuczną inteligencję może być „punktem wejścia” dla hakerów do gospodarstw domowych użytkowników.
Po gruntownej analizie, eksperci z ośrodka Check Point Research potwierdzili, że usługa posiada szereg luk w zabezpieczeniach, które przy ich wykorzystaniu pozwoliłyby hakerom uzyskać dostęp do danych osobowych ofiar, ich historii operacji bankowych, numerów telefonu czy adresów. Co więcej cyberprzestępcy byliby w stanie przeinstalować dodatkowe umiejętności, bez wiedzy użytkownika (manipulując np. usługą typu smart dom), jak również przejąć całą historię poleceń głosowych dokonywanych przez ofiarę!
- Inteligentne głośniki i wirtualni asystenci są tak powszechni, że łatwo jest nie dostrzec, ile danych osobowych przechowują czy jaką pełnią rolę w kontrolowaniu innych inteligentnych urządzeń w naszych domach. Jednak hakerzy postrzegają je często jako punkty wejścia do poufnych danych swoich ofiar, podsłuchiwania rozmów lub wykonywania innych złośliwych działań bez wiedzy właściciela – mówi Oded Vanunu, szef działu badań nad podatnościami produktów w firmie Check Point.
Najsłabsze ogniwo Aleksy
Z technicznego punktu widzenia badacze z Check Point wykazali, że niektóre subdomeny Amazon / Alexa były podatne na błędną konfigurację tzw. Cross-Origin Resource Sharing (CORS) i Cross Site Scripting (CSS). Korzystając z XSS, badacze byli w stanie uzyskać token CSRF i wykonać działania w imieniu ofiary.
W praktyce atak mógłby polegać na przesłaniu użytkownikowi Aleksy odnośnika, który przekierowywał go na odpowiednią stronę, gdzie napastnik mógł instalować złośliwy kod. Tym samym haker uzyskiwał dostęp do wszystkich aplikacji na koncie Aleksy, włącznie z tokenem użytkownika. Haker mógł odinstalować jedną z aplikacji, a następnie zainstalować inną z tą samą frazą wywoływania co usunięte rozszerzenie. Gdy tylko użytkownik spróbowałby użyć frazy wywołania, uruchomiłby aplikację, która dawałaby hakerowi możliwość wykonywania określonych działań na Aleksie.
W efekcie podatności umożliwiały hakerowi dostęp do historii komend głosowych oraz uzyskanie danych prywatnych udostępnionych wirtualnemu asystentowi. Udany atak wymagałaby tylko jednego kliknięcia w link, który został specjalnie spreparowany przez osobę atakującą.
Przedstawiciele Check Point ujawnili wyniki swoich badań firmie Amazon w czerwcu 2020 r. Twórcy Aleksy dokonali niezbędnych napraw, rozwiązując ujawnione problemy bezpieczeństwa.
- Bezpieczeństwo naszych urządzeń jest najwyższym priorytetem i doceniamy pracę niezależnych badaczy, takich jak Check Point, którzy zgłaszają nam potencjalne problemy. Naprawiliśmy ten problem wkrótce po tym, jak zwrócono nam na niego uwagę i nadal wzmacniamy nasze systemy. Nie są nam znane żadne przypadki wykorzystania tej luki przeciwko naszym klientom ani ujawnienia jakichkolwiek informacji o klientach. – komentuje sprawę rzecznik prasowy Amazona
- Mamy nadzieję, że producenci podobnych urządzeń pójdą za przykładem Amazona i sprawdzą swoje produkty pod kątem luk w zabezpieczeniach, które mogłyby zagrozić prywatności użytkowników. – dodaje Oded Vananu z Check Pointa.
Zobacz również
Technologia
Technologia
Sztuczna inteligencja, prawdziwe ryzyko. Jak cyberprzestępcy mogą oszukać AI?
27 marca 2024
Technologia
Instytucje państwowe celem ataków DDoS
26 marca 2024