Amazon Alexa можна зламати в один клік
Зловмисник може отримати доступ до особистих даних користувачів.
Здається, що зламати один з найпопулярніших продуктів Amazon має бути особливо важко. Однак фахівці Check Point Research виявили, що це не так.
За словами фахівців, піддомени Amazon, пов’язані з Alexa, особливо уразливі до спільного використання ресурсів між джерелами (CORS) і міжсайтового скриптингу (XSS). Якщо коротко, це означає, що хакери зможуть отримувати деякі важливі фрагменти інформації, такі як токени і ідентифікатори, всякий раз, коли піддомени Amazon зв’язуються один з одним для виконання певних завдань.
Дослідники розповіли про декілька способів здійснення атаки. Один з них передбачає створення шкідливих сторінок на доменах Amazon.com або Alexa.com і поширення посилань на дані сторінки. За допомогою цих сторінок зловмисник може перехопити токен авторизації, отримати доступ до облікового запису жертви, а потім підмінити офіційний додаток Alexa на шкідливу версію, яка запуститься, коли користувач звернеться до голосового помічника.
Чи вирішила Amazon проблему, невідомо.