Uncategorizedموبايل

خلل في أمازون أليكسا الصوتى يسمح بسرقة البيانات

قال عوديد فانونو، رئيس أبحاث ثغرات المنتجات في Check Point انه يمكن استغلال المساعد الصوتي أليكسا (Alexa) من شركة أمازون لتسليم بيانات المستخدم بسبب الثغرات الأمنية في المجالات الفرعية للخدمة.

واكتشف باحثو الأمن ثغرة تسمح لمجرمى الإنترنت بالحصول على بيانات السجل الصوتى، إلى جانب حذف وتثبيت الأوامر والتطبيقات، حيث تعرض أكثر من 200 مليون جهاز من أجهزة أمازون أليكسا لخطر الهجمات السيبرانية بسبب خلل موجود فى المساعد الذكى، وأطلقت أمازون منذ ذلك الحين تصحيحًا بعد إبلاغ عملاق التكنولوجيا بالمشكلة، ولاحظت أنها ليست على علم بأى حوادث متعلقة بالخطأ.

وقالت (Check Point): إن المشكلات الأمنية سببها نطاقات أمازون أليكسا الفرعية المعرّضة للإعداد بشكل غير صحيح لمشاركة الموارد عبر المنشأ (CORS)، وهجمات البرمجة النصية عبر المواقع (XSS).

وحدد باحثو (Check Point) الثغرة الأمنية من خلال إجراء اختبارات باستخدام تطبيق مساعد أمازون الصوتي، ووجدوا أن العديد من الطلبات التي قدمها التطبيق فيها سياسة إعداد غير صحيح تسمح بإرسال الطلبات من أي نطاق فرعي من أمازون.

ويسمح هذا الأمر للمهاجمين، الذين لديهم إمكانات حقن التعليمات البرمجية ضمن نطاق فرعي واحد، بتنفيذ هجوم عبر المجالات على نطاق فرعي آخر من أمازون.

وسمحت الثغرة الأمنية للمتسللين بتثبيت المهارات وحذفها ، بالإضافة إلى الحصول على المعلومات الشخصية للمستخدم وتطلب الهجوم ضغطة واحدة من المستخدم على رابط ضار صممه المتسلل وتفاعل صوتي من جانب الضحية.

مقالات ذات صلة

زر الذهاب إلى الأعلى
إغلاق
Mashy tech news

مجانى
عرض