Хакер #305. Многошаговые SQL-инъекции
В июне текущего года исследователи из компании Check Point обнаружили ряд опасных уязвимостей, которые открывали для атак виртуального помощника Amazon Alexa и его пользователей.
Проблемы представляли собой CORS и XSS баги, а также проблемы в конфигурации, и они затрагивали некоторые поддомены Amazon. Эксплуатируя эти баги, злоумышленники могли получить доступ к личным данным (имена пользователей, телефонные номера, домашние адреса, голосовая история) и выполнять различные действия от имени жертв (к примеру, удалять и устанавливать навыки для Alexa).
«Для успешной эксплуатации [проблем] требовался всего один щелчок по ссылке, специально созданной злоумышленником», — пишут исследователи.
Для успешной атаки злоумышленнику действительно необходимо было создать вредоносную ссылку, которая направляла бы пользователя на amazon.com, и отправить ее жертве (каким-то образом вынудив пользователя кликнуть по ней). Исследователи предложили использовать для этих целей уязвимую track.amazon.com, — эта страница не связана с Alexa, а используется для отслеживания посылок с Amazon, и ранее на нее можно было внедрить вредоносный код.
После злоумышленник отправлял Ajax-запрос с полученными файлами cookie пользователя на amazon.com/app/secure/your-skills-page, что позволяло получить список навыков, установленных для этой учетной записи Alexa.
Ответ на такой запрос содержал и токен CSRF, который атакующий мог использовать для удаления одного навыка из списка. Затем злоумышленник мог таким же образом установить на устройство собственный вредоносный навык для Alexa. Подмена удаленного навыка собственным открывала перед преступником немало возможностей, в зависимости от навыков, установленных на устройстве пользователя. К примеру, можно было получить доступ к голосовой истории жертвы, а затем к именам пользователей, номерам телефонов, домашним адресам, банковским данным (Alexa не записывает учетные данные для входа в банкинг, однако фиксирует прочие взаимодействия).
«Умные колонки и виртуальные помощники кажутся настолько непримечательными, что, порой, мы упускаем из виду их роль в управлении умным домом, а также то, сколько личных данных они хранят. По этой причине, хакеры рассматривают подобные приложения, как точки входа в жизнь людей, благодаря которым они могут получить доступ к личным данным, подслушивать разговоры и совершать иные вредоносные действия без ведома пользователя, — говорит Одед Вануну (Oded Vanunu), глава отдела исследования уязвимостей Check Point Software Technologies. — Цель нашего исследования — освещение необходимости обеспечения безопасности таких устройств, как Alexa. К счастью, специалисты Amazon быстро исправили уязвимости в поддоменах Amazon/Alexa. Мы надеемся, что производители подобных устройств последуют примеру Amazon и проверят свои продукты на наличие уязвимостей, которые потенциально могут компрометировать конфиденциальность пользователей».
В настоящее время инженеры Amazon уже исправили все обнаруженные уязвимости. Также представители компании заявили, что им неизвестно о каких-либо случаях использования этих проблем или о раскрытии какой-либо информации о клиентах.