Si vous êtes le genre de personne qui éteint Siri et refuse de garder un assistant intelligent dans votre maison par peur d’espionnage, vous êtes sur le point d’être vraiment suffisant. Des chercheurs indépendants Check Point Research ont trouvé un bogue dans Alexa d’Amazon qui aurait pu permettre aux pirates d’accéder aux informations personnelles et à l’historique des conversations.

Le bogue avait le potentiel d’être exploité par des pirates informatiques et leur donnerait accès à l’historique vocal complet d’un utilisateur, ce qui signifie qu’il pourrait accéder à l’ensemble de son historique de conversation avec Alexa, selon le rapport.

Oded Vanunu, responsable de la recherche sur la vulnérabilité des produits chez Check Point, dit Wired, «Nous avons découvert une chaîne de vulnérabilités dans la configuration de l’infrastructure d’Alexa qui permet finalement à un attaquant malveillant de recueillir des informations sur les utilisateurs et même d’installer de nouvelles compétences».

Pour ce faire, un pirate informatique devrait créer un lien Amazon malveillant sur lequel une victime peut cliquer, et les failles sous-jacentes des sous-domaines Amazon et Alexa signifient qu’il serait facile pour un attaquant de créer un lien authentique.

Selon la BBC, une fois le lien cliqué, «il serait facile d’obtenir une liste de toutes les« compétences »Alexa installées – ou applications – et de voler un jeton leur permettant d’ajouter ou de supprimer des compétences».

Publicité

À partir de là, un attaquant peut supprimer une compétence et la remplacer par une compétence malveillante avec la même phrase d’appel – ou phrase de déclenchement – de sorte que la prochaine fois qu’un utilisateur active cette application, il active sans méfiance l’application de l’attaquant.

Check Point a averti que les pirates pouvaient accéder aux informations personnelles d’un utilisateur via son compte Amazon, y compris son adresse personnelle et – potentiellement – ses coordonnées bancaires. Cependant, Amazon a déclaré que cela était peu probable car Alexa n’est pas stockée sur les réponses enregistrées d’Alexa. Ils ont également affirmé que la probabilité que ce bogue soit exploité de manière malveillante était faible, car il existe des systèmes en place pour empêcher les compétences malveillantes d’entrer dans l’Alexa Skill Store, qui sont régulièrement examinées et que toutes les compétences malveillantes trouvées sont systématiquement désactivées.

Un porte-parole d’Amazon a déclaré à Wired: «La sécurité de nos appareils est une priorité absolue, et nous apprécions le travail de chercheurs indépendants comme Check Point qui nous apportent des problèmes potentiels.

«Nous avons résolu ce problème peu de temps après qu’il a été porté à notre attention, et nous continuons à renforcer nos systèmes.

Nous n’avons connaissance d’aucun cas d’utilisation de cette vulnérabilité contre nos clients ou de divulgation d’informations sur les clients. »

Le bogue a heureusement été corrigé, vous pouvez donc utiliser vos assistants robots en toute tranquillité (pour le moment).


Rate this post
Publicité
Article précédentLes brevets suggèrent que l’iPhone 12 peut obtenir des gestes dans les airs grâce à un nouveau capteur de profondeur ToF
Article suivantRapport complet sur le marché de l’IoT et de la blockchain 2020 | Tendances, demande de croissance, opportunités et prévisions jusqu’en 2026
Berthe Lefurgey
Berthe Lefurgey
https://muckrack.com/berthe-lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici