انتباه! إذا كنت تستخدم المساعد الصوتي من أمازون Alexa في مكبرات الصوت الذكية ، فإن مجرد فتح رابط ويب بريء المظهر قد يسمح للمهاجمين بتثبيت مهارات القرصنة عليه والتجسس على أنشطتك عن بُعد.
كشف باحثو الأمن الإلكتروني في Check Point – Dikla Barda و Roman Zaikin و Yaara Shriki – اليوم عن ثغرات أمنية خطيرة في المساعد الافتراضي Alexa من Amazon والتي قد تجعله عرضة لعدد من الهجمات الضارة.
وفقًا لتقرير جديد صادر عن Check Point Research ومشاركته مع The Hacker News ، كان من الممكن أن تسمح الثغرات للمهاجم بإزالة / تثبيت المهارات على حساب Alexa للضحية المستهدفة ، والوصول إلى سجل صوتهم والحصول على معلومات شخصية من خلال التفاعل المهاري عندما يستدعي المستخدم المهارة المثبتة “.
قال أوديد فانونو ، رئيس قسم أبحاث الثغرات الأمنية في المنتج: “مكبرات الصوت الذكية والمساعدات الافتراضية شائعة جدًا لدرجة أنه من السهل التغاضي عن مقدار البيانات الشخصية التي يحتفظون بها ، ودورهم في التحكم في الأجهزة الذكية الأخرى في منازلنا”.
وأضاف: “لكن المتسللين يعتبرونها نقاط دخول إلى حياة الناس ، مما يمنحهم الفرصة للوصول إلى البيانات أو التنصت على المحادثات أو القيام بأعمال خبيثة أخرى دون علم المالك”.
https://www.youtube.com/watch؟v=xfqGYic4hj8
قامت أمازون بتصحيح نقاط الضعف بعد أن كشف الباحثون نتائجهم للشركة في يونيو 2020.
خطأ XSS في أحد نطاقات Amazon الفرعية
قالت Check Point إن العيوب نشأت عن سياسة CORS التي تمت تهيئتها بشكل خاطئ في تطبيق الهاتف المحمول Alexa من أمازون ، وبالتالي من المحتمل أن يسمح للخصوم الذين لديهم إمكانات حقن الكود في أحد نطاقات Amazon الفرعية بتنفيذ هجوم عبر المجال على نطاق فرعي آخر من Amazon.
بعبارة أخرى ، كان الاستغلال الناجح يتطلب نقرة واحدة فقط على رابط أمازون الذي صممه المهاجم خصيصًا لتوجيه المستخدمين إلى مجال فرعي أمازون يكون عرضة لهجمات XSS.
بالإضافة إلى ذلك ، وجد الباحثون أن طلب استرداد قائمة بجميع المهارات المثبتة على جهاز Alexa يؤدي أيضًا إلى إرجاع رمز CSRF في الاستجابة.
الغرض الأساسي من رمز CSRF هو منع هجمات التزوير عبر الموقع التي يتسبب فيها رابط أو برنامج ضار في قيام متصفح الويب الخاص بالمستخدم المصادق عليه بتنفيذ إجراء غير مرغوب فيه على موقع ويب شرعي.
يحدث هذا لأن الموقع لا يمكنه التفريق بين الطلبات المشروعة والطلبات المزورة.
ولكن مع امتلاك الرمز المميز ، يمكن للممثل السيئ إنشاء طلبات صالحة إلى خادم الواجهة الخلفية وتنفيذ الإجراءات نيابة عن الضحية ، مثل تثبيت وتمكين مهارة جديدة للضحية عن بُعد.
باختصار ، يعمل الهجوم من خلال مطالبة المستخدم بالنقر فوق ارتباط ضار ينتقل إلى نطاق فرعي من أمازون (“track.amazon.com”) مع وجود خلل في XSS يمكن استغلاله لتحقيق حقن التعليمات البرمجية.
ثم يستخدمه المهاجم لإطلاق طلب إلى المجال الفرعي “Skillsstore.amazon.com” باستخدام بيانات اعتماد الضحية للحصول على قائمة بجميع المهارات المثبتة على حساب Alexa ورمز CSRF.
في المرحلة النهائية ، يلتقط الاستغلال رمز CSRF من الاستجابة ويستخدمه لتثبيت مهارة بمعرف مهارة محدد على حساب Alexa الخاص بالهدف ، وإزالة مهارة مثبتة خلسة ، والحصول على سجل الأوامر الصوتية للضحية ، وحتى الوصول إلى الشخصية المعلومات المخزنة في ملف تعريف المستخدم.
الحاجة إلى أمان إنترنت الأشياء
مع توقع وصول حجم سوق السماعات الذكية العالمية إلى 15.6 مليار دولار بحلول عام 2025 ، فإن البحث هو سبب آخر يجعل الأمان أمرًا بالغ الأهمية في مجال إنترنت الأشياء.
نظرًا لأن المساعدين الافتراضيين أصبحوا أكثر انتشارًا ، فقد أصبحوا على نحو متزايد أهدافًا مربحة للمهاجمين الذين يتطلعون إلى سرقة المعلومات الحساسة وتعطيل أنظمة المنزل الذكي.
وخلص الباحثون إلى أن “أجهزة إنترنت الأشياء ضعيفة بطبيعتها ولا تزال تفتقر إلى الأمان الكافي ، مما يجعلها أهدافًا جذابة للجهات الفاعلة المهددة”.
“يبحث مجرمو الإنترنت باستمرار عن طرق جديدة لاختراق الأجهزة ، أو استخدامها لإصابة أنظمة مهمة أخرى. يعمل كل من الجسر والأجهزة كنقاط دخول. يجب الحفاظ عليها آمنة في جميع الأوقات لمنع المتسللين من التسلل إلى منازلنا الذكية.”
