Bug no Alexa acende alerta vermelho
Um trio de vulnerabilidades recentemente encontradas em dispositivos Alexa que poderiam ter levado a ataques mais amplos em redes domésticas e corporativas foram corrigidas em uma atualização de software pela Amazon.
Alexa pode servir como um ponto de entrada para redes domésticas e corporativas. Os especialistas em segurança apontam para a necessidade dos fabricantes trabalharem em estreita colaboração com as equipes de segurança corporativa para detectar e encerrar as falhas do dispositivo IoT.
Um trio de vulnerabilidades recentemente encontradas em dispositivos Alexa que poderiam ter levado a ataques mais amplos em redes domésticas e corporativas foram corrigidas em uma atualização de software pela Amazon.
As vulnerabilidades, que foram tornadas públicas na semana passada por pesquisadores da Check Point, levantaram bandeiras vermelhas devido aos muitos milhões de pessoas que agora trabalham em casa por causa da pandemia.
Mais de 200 milhões de dispositivos de casa inteligente Alexa foram enviados até o momento, de acordo com várias fontes. As vulnerabilidades, que podem ser exploradas clicando em um link inválido cheio de código malicioso, podem ter exposto informações pessoais do usuário, incluindo históricos de dados bancários, nomes de usuário, números de telefone e endereços residenciais.
Oded Vanunu, chefe da pesquisa de vulnerabilidades de produtos da Check Point, diz que os profissionais de segurança devem se preocupar com as vulnerabilidades do Alexa porque a maioria dos usuários domésticos não possui segurança de rede básica, como segmentação de rede.
“Uma conta Alexa pode servir como um gateway para a rede doméstica e ser usada como base para lançar outros ataques”, diz Vanunu. “Embora segmentar a rede seja uma boa ideia, é pedir muito ao usuário doméstico típico.”
Brandon Hoffman, CISO da Netenrich, concorda que não faz sentido colocar sobre os consumidores a responsabilidade de fazer um gerenciamento mais amplo da rede.
“Em vez disso, os fabricantes de dispositivos devem reconhecer que o turno de trabalho em casa coloca um foco maior nos equipamentos domésticos e eles têm a responsabilidade com a base de consumidores de tomar as medidas adequadas para eliminar vulnerabilidades e fornecer orientação de segurança, juntamente com opções de segurança mais robustas para usuários experientes “, diz Hoffman.
Hank Schless, gerente sênior de soluções de segurança da Lookout, diz que as equipes de segurança precisam entender que as ferramentas tradicionais não protegem seus funcionários desse tipo de ataque. Mesmo que os profissionais de segurança implantem uma VPN, autenticação multifator e gerenciamento de dispositivo móvel, nada disso impedirá um funcionário de acessar um link de phishing convincente e desistir de suas credenciais de login corporativo ou introduzir malware na infraestrutura corporativa.
“No caso de um aplicativo de consumidor, os desenvolvedores de aplicativos precisam integrar a segurança em seu aplicativo para proteger seus clientes contra malware”, diz Schless. “Desenvolvedores de aplicativos e equipes de segurança precisam trabalhar juntos para integrar medidas de segurança em seus aplicativos móveis que protejam o usuário.”
A Check Point apresentou as vulnerabilidades à Amazon em junho. A empresa foi receptiva à pesquisa e corrigiu as vulnerabilidades imediatamente, diz Vanunu. Nos últimos meses, a Check Point também conduziu pesquisas de segurança no TikTok , WhatsApp e Fortnite.
“Alexa já nos preocupa há algum tempo, devido à sua onipresença e conexão com dispositivos IoT”, diz Vanunu. “Esperamos que os fabricantes de dispositivos semelhantes sigam o exemplo da Amazon e verifiquem seus produtos em busca de vulnerabilidades que possam comprometer a privacidade dos usuários.”
Os pesquisadores de Vulnerabilidades Check Point descobriram que certos subdomínios Amazon / Alexa eram vulneráveis a configurações incorretas de Cross-Origin Resource Sharing (CORS) e Cross Site Scripting (XSS). Usando o XSS, os pesquisadores também conseguiram obter o token de falsificação de solicitação entre sites (CSRF) e executar ações em nome da vítima.
Vanunu disse que um único clique da vítima aciona as três vulnerabilidades: Primeiro, a vulnerabilidade XSS em um dos subdomínios da Amazon permite o acesso aos cookies de identificação das vítimas. Em segundo lugar, uma vez que o acesso é obtido, a configuração incorreta do CORS e o token CSRF podem ser explorados e, em terceiro lugar, as ações podem ser realizadas em nome das vítimas em suas contas Alexa.
Um token CSRF é um valor exclusivo, secreto e imprevisível gerado pelo aplicativo do lado do servidor e transmitido ao cliente de forma que seja incluído em uma solicitação HTTP subsequente feita pelo cliente. Vanunu diz que essas explorações podem permitir que um invasor remova ou instale habilidades Alexa (aplicativos) na conta Alexa de uma vítima, acessar o histórico de voz da pessoa e obter informações pessoais.
Embora Vanunu tenha reiterado que a prevenção recai principalmente sobre o fabricante, os usuários podem tomar certas medidas para proteger suas contas Alexa. Para começar, diz ele, os usuários não devem instalar aplicativos desconhecidos em seus sistemas. Eles também devem pensar duas vezes antes de compartilhar a senha ou as informações da conta bancária.
“As pessoas também deveriam deletar seus históricos de voz e saber quantos aplicativos instalaram”, acrescentou Vanunu.
Hoffman, da Netenrich, afirma que, embora os hackers já investiguem equipamentos de automação residencial por um longo tempo, o valor real de penetrar em redes domésticas inicialmente tinha valor limitado para os cibercriminosos. No entanto, o paradigma mudou agora que mais pessoas trabalham em casa.
“A consideração mais perigosa do turno de trabalho em casa é a ideia de que redes domésticas vulneráveis criam uma ponte para redes corporativas altamente valiosas”, diz Hoffman. “Embora o exemplo recente de vulnerabilidades baseadas no Alexa seja interessante em termos de realçar a capacidade, os dados reais acessados são de baixo ou muito pouco valor para os cibercriminosos, a menos que sejam obtidos em grande escala. Por outro lado, mover-se lateralmente ou escalar o acesso para máquinas na rede compartilhadas com um dispositivo como o Alexa têm um apelo enorme. ”
Chris Morales, chefe de análise de segurança da Vectra, diz que as equipes de segurança precisam finalmente entender que os ataques de IoT são reais e existem para o longo prazo. Ele diz que ataques DDoS em grande escala – o uso original de botnets IoT – são difíceis de combater até mesmo para as empresas maiores e mais preparadas.
“Um perigo ainda maior é quando os dispositivos IoT começam a bisbilhotar as redes corporativas e podem se transformar em sistemas mais críticos”, diz ele. “Dispositivos, como assistentes virtuais, impressoras, câmeras e até mesmo dispositivos avançados como scanners de ressonância magnética, podem representar um risco alarmante de segurança cibernética. Embora não se encaixem na conta de um host de rede tradicional, eles representam alvos e vetores frutíferos para atacantes cibernéticos.”
Fonte: https://www.darkreading.com/iot/newly-patched-alexa-flaws-a-red-flag-for-home-workers/d/d-id/1338700