Allvarlig sårbarhet i Amazon Alexa – röstdata var öppen för hackare

Amazon Echo 2nd Gen

En sårbarhet i Amazon Alexa gjorde att hackare kunde komma åt känslig röstinformation. Det avslöjar säkerhetsfirman Check Point som pekar ut hur hackare kunde få åtkomst till en komplett historik över användares röstanvändning med Alexa.

Allt som behövdes var att hackare lyckades övertala en intet ont anande Alexa-användare att klicka på en specifik länk på internet. På grund av stora säkerhetshål kring hur Amazon och Alexa använder underdomäner kunde hackare nå underliggande infrastruktur via speciellt designad kod.

Mer specifikt via underdomänen track.amazon.com, en sajt som är helt orelaterad till Alexa och som används för att spåra paket från Amazon. Den underdomänen blev en öppen dörr för hackare via snillrikt skapad kod som injicerades mellan användaren och Amazons tjänster.

Det stora problemet här är att Amazons tjänster misstar hackarna för legitima användare och öppnar porten för dem. Därefter kan hackarna se en komplett ljudhistorik för röstkommandon, se vilka skills som är installerade och liknande.

Sårbarheten gjorde även att obehöriga kunde kontrollera skills genom att avinstallera eller installera nya. Den senare är extra farlig eftersom det kan användas för att lura användarna att göra saker som hjälper hackarna på olika vis.

Amazon förnekar att hackare kunde komma åt bankinformation

En intressant detalj är att Check Point påstår att det är potentiellt möjligt för hackare att komma åt bankinformation hos Amazon. Något företagsjätten dock menar är omöjligt då Alexa inte hanterar sådan information överhuvudtaget.

I ett meddelande säger en talesperson för Amazon att företaget uppskattar arbetet som oberoende säkerhetsfirmor likt Check Point gör, och att företaget ser användarnas säkerhet som sin högsta prioritet.

Sårbarheten med underdomänerna fixades omedelbart efter att Check Point kontaktat Amazon.

Amazon säger också att de inte har hittat bevis på att hackare faktiskt nyttjat sårbarheten eller att information hamnat i obehörigas ägo.

Check Point i sin tur menar att sårbarheten var så knepig att använda, att de inte är förvånade att Amazon missat den. Check Point säger också att de är tacksamma att Amazon tog dem på allvar då mer än 200 miljoner Alexa-prylar i cirkulation var direkt påverkade.

Läs mer om nyheten på Wired.com.