Alexa Permite Escuta Continua por Hackers

O Amazon Echo, gadget que hospeda  assistente pessoal inteligente da Alexa, pode ser adulterado para permitir a espionagem de consumidores.

Pesquisadores da MWR InfoSecurity criaram uma prova de conceito para um ataque que permite hackers registrar e transmitir conversas que ocorrem na ao redor da Alexa e enviá-las para um computador remoto. Esses espiões em potencial também podem ver as credenciais da Amazon e os tokens de autenticação do proprietário e roubar informações confidenciais de aplicativos no dispositivo.

O Amazon Echo é vulnerável a um ataque físico que permite a um invasor ganhar um root shell no sistema operacional Linux e a instalar malwares sem deixar evidências físicas de adulteração. 

Esse malware poderia conceder um acesso remoto persistente do invasor ao dispositivo, roubar os tokens de autenticação do cliente e a capacidade de transmitir o áudio do microfone ao vivo para serviços remotos sem alterar a funcionalidade do dispositivo, disse a empresa análise .

pinout

fonte MWR Labs

Usando um cartão SD externo, eles foram capazes de inicializar o firmware no Echo, instalar um código persistente, ganhar acesso remoto ao root shell e, finalmente, fazer uma bisbilhotar remotamente os microfones no modo “sempre ouvindo”.

Embora o hack requeiram acesso físico ao Echo, é perfeitamente possível que as versões do dispositivo de vendidos por terceiros (incluindo dispositivos usados) possam ser adulterados antes da entrega ao usuário final. A técnica não afeta a funcionalidade do Amazon Echo, então os usuários não seriam capazes de identificar a adulteração.

As versões do Echo lançadas em 2015 e no ano passado são vulneráveis, mas a Amazon resolveu o problema nos modelos de 2017. Os usuários devem verificar a data em que o produto foi feito na parte de trás da caixa pelo número de série.

fonte InfoSecurity Magazine & MWR Labs

por MindSec 04/08/2017
About mindsecblog 277 Articles

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.