Un bug d’Alexa a exposé des données vocales


« Alexa, qui pirate mon système ? »

alexa

Plus de 200 millions de propriétaires d’Amazon Echo, Dot et Show n’obtiendront probablement pas de réponse des populaires assistants personnels, mais c’est une question qu’ils pourraient commencer à se poser.

Des chercheurs de la société de sécurité Check Point ont rapporté jeudi avoir trouvé un bug qui permettrait aux pirates d’obtenir des données d’historique vocal et d’installer des compétences Alexa ou des actions Google à l’insu de l’utilisateur. Cela signifie que les conversations que les utilisateurs ont avec Alexa concernant des données personnelles pourraient être obtenues et utilisées pour infiltrer leurs appareils Amazon.

Check Point a expliqué qu’une fois les données personnelles obtenues, un hacker pourrait se faire passer pour un utilisateur légitime, supprimer une compétence installée et la remplacer par une version trafiquée contenant un code malveillant. En retour, une fois le programme contaminé activé, un hacker pourrait obtenir des données d’utilisateur sensibles en écoutant les conversations. Ces informations pourraient concerner des transactions financières, des détails de santé ou des échanges de nature personnelle qu’un utilisateur pourrait effectuer par le biais d’enquêtes Amazon.

Une approche qu’un hacker pourrait utiliser consiste à créer un lien d’apparence légitime vers un site utilisé pour le suivi des paquets Amazon. Un utilisateur peu méfiant qui clique sur le lien fournira une entrée au pirate pour échanger des compétences installées avec des compétences malveillantes.

« Les haut-parleurs intelligents et les assistants virtuels sont si courants qu’il est facile de ne pas tenir compte de la quantité de données personnelles qu’ils contiennent, ni de leur rôle dans le contrôle des autres appareils intelligents de nos foyers », a déclaré Oded Vanunu, responsable de la recherche sur les vulnérabilités des produits chez Check Point. « Mais les pirates les considèrent comme des points d’entrée dans la vie des gens, leur donnant la possibilité d’accéder à des données, d’écouter des conversations ou de mener d’autres actions malveillantes à l’insu de leur propriétaire. Nous avons mené cette recherche pour souligner combien la sécurisation de ces dispositifs est essentielle au maintien de la vie privée des utilisateurs. »

Amazon a déclaré qu’elle avait corrigé les vulnérabilités et a exprimé des doutes quant à l’existence d’une véritable violation. Les informations bancaires, telles que les soldes, sont effacées des journaux d’Alexa, a ajouté Amazon.

Check Point a reconnu qu’Amazon n’enregistrait pas les identifiants de connexion bancaire, et a souligné que toutes les applications, ou compétences, dans la boutique Amazon sont passées au crible pour détecter les comportements potentiellement malveillants. Mais Check Point a noté que les interactions sont enregistrées, y compris les tâches bancaires, de sorte que certaines données sont potentiellement compromises. Faisant référence aux résultats de ses recherches, Check Point a déclaré : « Nous pouvons également obtenir des noms d’utilisateurs et des numéros de téléphone, en fonction des compétences installées sur le compte Alexa de l’utilisateur. »

En attendant, un porte-parole d’Amazon a déclaré : « Nous n’avons pas connaissance de cas d’utilisation de cette vulnérabilité contre nos clients ou d’exposition d’informations sur les clients. »

Amazon conserve par défaut les enregistrements des transactions vocales avec les appareils Echo dans le cadre de ses efforts d’intelligence artificielle. Les employés d’Amazon peuvent également écouter ces échanges. Les utilisateurs peuvent choisir de refuser l’accès à ces conversations par le biais de l’application Alexa. En outre, les utilisateurs peuvent configurer Echo pour qu’il supprime automatiquement l’historique vocal tous les trois ou 18 mois. Ceux qui souhaitent des effacements plus fréquents peuvent le faire manuellement, chaque jour ou chaque semaine.

Il est à noter qu’Amazon a signalé qu’il conserve les transcriptions de certaines conversations la veille de la suppression de l’audio.

Lire aussi : Un nouveau brevet révèle les projets d’Amazon pour un appareil Alexa qui enregistre tout ce que vous dites

Source : Tech Xplore – Traduit par Anguille sous roche


Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *