Badacze bezpieczeństwa odkryli poważną lukę w asystentce Amazon Alexa. W tym przypadku sprawa dotyczy skilli, czyli umiejętności dostarczanych przez firmy trzecie, które mogą prowadzić do problemów z prywatnością użytkownika.
Według najnowszego badania opublikowanego przez naukowców z North Carolina State University, dane osobowe użytkownika, a także informacje związane z bankowością czy lista kontaktów mogą być zagrożone. Wszystko to jeśli zdecydujemy się zainstalować skille do asystentki Amazon Alexa, autorstwa firm trzecich.
Umiejętności przydają się, między innymi, do kontrolowania gadżetów innych firm, logowania się do banku czy sterowania konkretnymi częściami inteligentnego domu przy pomocy poleceń głosowych.
Amazon Alexa z luką bezpieczeństwa
Obecnie nie ma żadnych dowodów na to, iż umiejętności Alexy mogły zostać wykorzystane przez hakerów oraz cyberprzestępców do uzyskania dostępu do prywatnych danych użytkownika. Badacze zachęcają jednak do prewencyjnego odinstalowania wszystkich umiejętności Alexy ze swoich sprzętów, dopóki sam Amazon nie zapewni, że luki bezpieczeństwa zostały z powodzeniem załatane.
W czym konkretnie problem? Amazon zdaje się nieodpowiednio weryfikować dostawców umiejętności do Alexy. Nie stosuje żadnej walidacji tego, że dana osoba albo firma jest tym za kogo się podaje. Użytkownik może więc pomyśleć, że używa oficjalnej umiejętności udostępnionej przez dużego producenta, a finalnie okazuje się, że stoi za nią ktoś zupełnie inny.
Inżynierowie wskazali także, że osoby programujące umiejętności dla Amazon Alexa mogą zmienić ich kod już po umieszczeniu go na platformie. Jakiekolwiek modyfikacje również nie są weryfikowane przez Amazon, dlatego nie ma trudności, by w pełni bezpieczne skille, zmienić w zagrożenie dla prywatności.
Warto mieć na uwadze, co dokładnie instalujemy na swoich sprzętach. Ostrożności nigdy za wiele.