Pesquisadores revelam vulnerabilidades críticas de segurança na Amazon Alexa

Pesquisadores da empresa de segurança cibernética Check Point acabam de revelar uma vulnerabilidade crítica na Alexa, a famosa assistente pessoal da Amazon que também equipa a família de smart speakers Echo. De acordo com os analistas, uma brecha nos domínios da companhia permitia que criminosos enviassem links maliciosos às vítimas que, caso acessados, permitiam a invasão do dispositivo ou conta Alexa do internauta.

Uma vez tendo invadido a assistente, o atacante seria capaz de acessar informações pessoais (incluindo dados bancários), extrair o histórico de comandos de voz, instalar ou excluir recursos adicionais (as famosas “skills”) e visualizar a lista completa de dispositivos de Internet das Coisas (IoT, na sigla em inglês) associados ao perfil do utilizador. Visto que os aparelhos Echo são usados para automação residencial, tais ataques podem culminar até em crimes físicos.

“Alto-falantes inteligentes e assistentes virtuais são tão comuns que é muito fácil ignorar a quantidade de dados pessoais que eles possuem, bem como sua função no controle de outros dispositivos inteligentes em nossas casas”, afirma Oded Vanunu, chefe de pesquisa de vulnerabilidade de produto da Check Point. O executivo ressalta que o estudo foi feito para chamar atenção à falta de proteção desse tipo de aparelho.

“Os cibercriminosos, por outro lado, os veem como pontos de entrada para acessar a vida das pessoas, dando-lhes a oportunidade de obter os dados, escutar conversas ou realizar outras ações maliciosas sem que o proprietário perceba”, conclui o especialista. Segundo a Check Point, a Amazon corrigiu as falhas rapidamente após receber uma notificação formal, mas é difícil saber se tal técnica já estava sendo explorada por criminosos até então.