Des « gentils hackers » ont infecté des sites Amazon pour pirater Alexa
Informations sur les pannes informatiques destinés aux particuliers et aux entreprises.
Billet
ils ont réussi à pirater Alexa
D'un simple clic de leur victime sur un lien Amazon, les chercheurs de Check Point ont réussi à pirater des comptes Alexa. Une fois leur attaque réussie, ils ont pu:
Voler des informations stockées dans le compte de l'utilisateur.
Par exemple, ils avaient accès à l'historique avec les coordonnées bancaires, le nom d'utilisateur, le numéro de téléphone ou même l'adresse du domicile. Les pirates pourraient revendre ces données ou les exploiter pour lancer d'autres attaques.
Ajoutez et supprimez des «compétences» Alexa.
Les compétences sont des commandes qui peuvent déclencher toutes sortes d'actions comme "dites-moi la météo". Des centaines d'entre eux peuvent être téléchargés à partir du site Amazon, et n'importe qui peut en soumettre un. Un hacker pourrait donc télécharger une "compétence" malveillante qu'il a lui-même développée.
Accédez à l'historique avec des commandes vocales.
Grâce à ces informations, le hacker saura comment sa victime utilise son assistant vocal. S'il dit souvent "Alexa, éteins les lumières", le hacker peut attribuer une "compétence" malveillante à cette commande.
Fonctionnalités d'Alexa piratées
Les "hackers" pourraient alors accéder à ces comptes et à toutes les fonctionnalités proposées et les changer avec envie. Par exemple, des spécialistes ont créé un programme qui active la caméra lorsque le client demande les prévisions météorologiques. Des dizaines de chirurgies similaires ont été possibles grâce à la vulnérabilité.
Incidemment, les «bons» pirates ont eu accès aux informations personnelles des clients d'Amazon et à leur historique d'utilisation d'Alexa. Il s'agit de données que des pirates malveillants auraient pu revendre ou utiliser pour manipuler à distance plus de 200 millions d'appareils et objets connectés qui fonctionnent avec l'assistant virtuel.
