Jump to content
  • Pesquisadores descobrem falhas de segurança na Alexa  


    Um grupo de acadêmicos da Ruhr-Universität Bochum e da North Carolina State University descobriram riscos de privacidade e segurança no ecossistema de habilidades da assistente de voz Alexa, bem como inconsistências no processo de verificação dessas skills. Segundo o The Hacker News, foram analisadas 90.194 habilidades do ecossistema Alexa Skills, disponíveis em sete países, incluindo os EUA, Reino Unido, Austrália, Canadá, Alemanha, Japão e França.

    As falhas estão no processo de verificação de habilidades da Amazon para o ecossistema da Alexa. Essas vulnerabilidades podem permitir que um agente malicioso publique uma habilidade enganosa, em nome de qualquer desenvolvedor arbitrário, ou até mesmo faça alterações no código de back-end para induzir os usuários a fornecerem informações confidenciais.

    Isso acontece porque a Amazon permite que desenvolvedores terceirizados criem funcionalidades adicionais para dispositivos, como os alto-falantes Echo, configurando "habilidades" que são executadas em cima da assistente de voz. O objetivo seria facilitar que os usuários iniciem uma conversa com a habilidade e concluam uma tarefa específica. Contudo, a preocupação é que um usuário possa ativar uma habilidade errada. A armadilha vem do fato de que várias habilidades podem ter a mesma frase de invocação.

    Os pesquisadores alertam que a Amazon atualmente não emprega nenhuma abordagem automatizada para detectar infrações para o uso de marcas registradas de terceiros, dependendo de verificação manual para detectar tais tentativas maliciosas. 

    Eles afirmam ainda que um invasor pode fazer alterações no código após a aprovação de uma habilidade para persuadir um usuário a revelar informações confidenciais, como números de telefone e endereços. Por conta desses riscos, os usuários são aconselhados a ter cuidado com as habilidades que escolhem instalar em seus dispositivos.

    Amazon rejeita alegações sobre falha de segurança – O Threatpost informa que a Amazon enviou declaração afirmando conduzir análises de segurança como parte da certificação de habilidades, dizendo ainda que possui sistemas para monitorar continuamente habilidades ao vivo em busca de comportamento potencialmente malicioso. "A segurança de nossos dispositivos e serviços é uma prioridade máxima”, disse o porta-voz da Amazon. “Todas as habilidades ofensivas que identificamos são bloqueadas durante a certificação ou rapidamente desativadas. Estamos constantemente aprimorando esses mecanismos para proteger ainda mais nossos clientes. Agradecemos o trabalho de pesquisadores independentes que nos ajudam a trazer problemas em potencial".

     

    Notícia atualizada em 1/03/2021  às 14h10


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...