تكنولوجيا

خلل في Amazon Alexa يكشف عن المعلومات الشخصية

يمكن استخدام Alexa Voice Assistant من Amazon لتوفير بيانات المستخدم بسبب نقاط الضعف الأمنية في نطاقات الخدمة الفرعية.

كان المساعد الذكي الموجود في أجهزة مثل Amazon Echo و Echo Dot عرضة للمهاجمين الذين يبحثون عن معلومات التعريف الشخصية (PII) والتسجيلات الصوتية.

تحدث مشكلات الأمان بسبب نطاقات Amazon Alexa الفرعية التي تكون عرضة للإعداد غير الصحيح للهجمات عبر المصادر (CORS) والبرمجة النصية عبر المواقع (XSS) ، كما تقول Check Point.

حدد باحثو Check Point الثغرة الأمنية من خلال إجراء اختبارات باستخدام تطبيق Amazon Voice Assistant

ووجدوا أن العديد من الطلبات التي قدمها التطبيق بها سياسة تكوين غير صحيحة تسمح بإرسال الطلبات

إلى من أي نطاق فرعي من Amazon.

يسمح هذا للمهاجمين ، الذين لديهم إمكانات حقن التعليمات البرمجية في مجال فرعي واحد ، بشن هجوم عبر المجال على نطاق فرعي آخر من Amazon.

كدليل على المفهوم ، استغل الباحثون عيبًا في أحد نطاقات Amazon الفرعية للاستفادة من ملفات

تعريف الارتباط غير الصحيحة والسياسة، التي تمت تهيئتها، لإجراء تعديلات على حسابات أليكسا Alexa.

لقد صمموا رابطًا للضحية الوهمية (track.amazon.com) ، يمكن للباحث من خلاله إرسال طلب يحتوي على

“ملف تعريف الارتباط” الخاص بالضحية إلى عنوان موقع الويب ، والذي يُظهر التطبيق الصوتي المثبت على حساب الضحية Alexa قائمة.

ويستخدم الباحث بعد ذلك رمزاً مميزاً لإزالة تطبيق شائع من القوائم، وتثبيت تطبيق ضار عبر عبارة التنشيط نفسها للتطبيق المحذوف.

بهذه الطريقة ، الضحية التي تستخدم عبارة التنشيط ستقوم عن غير قصد بتشغيل تطبيق المهاجم الضار.

خلال الاختبارات ، وجدت Check Point أن أرقام الهواتف وعناوين المنازل وأسماء المستخدمين وبيانات البنك يمكن نظريًا سرقتها.

لا تسجل Amazon عمليات تسجيل الدخول المصرفية ، ولكن يتم تسجيل تفاعلات المستخدم ، وتقوم Alexa

بعملية سترداد بسرعة المعلومات المصرفية في السجلات.

وقال متحدث باسم أمازون في بيان: سلامة أجهزتنا أولوية قصوى ونقدر عمل باحثين مستقلين مثل Check Point الذين يظهرون لنا المشاكل المحتملة.

وأضاف: “لقد أصلحنا هذه المشكلة بعد وقت قصير من علمنا بها ونواصل تعزيز أنظمتنا. ولا علم لنا بأي حالات لاستغلال هذه الثغرة الأمنية لعملائنا أو نقل معلومات العملاء”.

وجدت دراسة أجراها باحثو كلية الحوسبة بجامعة كليمسون أن سياسات الخصوصية لتطبيق Amazon Alexa و Google Assistant غالبًا ما تكون إشكالية وتنتهك المتطلبات الأساسية.

 

أقرأ أيضاً: حقق Netflix على أكثر من مليار عملية تنزيل على Android

اظهر المزيد

رهف منير

إعلامية كويتية حاصلة على ماجستير في الإعلام الرقمي و الإتصال من جامعة الشرق الأوسط الأمريكية في العام 2016

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى