O Amazon Echo, gadget que hospeda assistente pessoal inteligente da Alexa, pode ser adulterado para permitir a espionagem de consumidores.
Pesquisadores da MWR InfoSecurity criaram uma prova de conceito para um ataque que permite hackers registrar e transmitir conversas que ocorrem na ao redor da Alexa e enviá-las para um computador remoto. Esses espiões em potencial também podem ver as credenciais da Amazon e os tokens de autenticação do proprietário e roubar informações confidenciais de aplicativos no dispositivo.
O Amazon Echo é vulnerável a um ataque físico que permite a um invasor ganhar um root shell no sistema operacional Linux e a instalar malwares sem deixar evidências físicas de adulteração.
Esse malware poderia conceder um acesso remoto persistente do invasor ao dispositivo, roubar os tokens de autenticação do cliente e a capacidade de transmitir o áudio do microfone ao vivo para serviços remotos sem alterar a funcionalidade do dispositivo, disse a empresa análise .
fonte MWR Labs
Usando um cartão SD externo, eles foram capazes de inicializar o firmware no Echo, instalar um código persistente, ganhar acesso remoto ao root shell e, finalmente, fazer uma bisbilhotar remotamente os microfones no modo “sempre ouvindo”.
Embora o hack requeiram acesso físico ao Echo, é perfeitamente possível que as versões do dispositivo de vendidos por terceiros (incluindo dispositivos usados) possam ser adulterados antes da entrega ao usuário final. A técnica não afeta a funcionalidade do Amazon Echo, então os usuários não seriam capazes de identificar a adulteração.
As versões do Echo lançadas em 2015 e no ano passado são vulneráveis, mas a Amazon resolveu o problema nos modelos de 2017. Os usuários devem verificar a data em que o produto foi feito na parte de trás da caixa pelo número de série.
fonte InfoSecurity Magazine & MWR Labs por MindSec 04/08/2017
Deixe sua opinião!