Bug Keamanan Amazon Alexa Memungkinkan Akses ke Riwayat Suara

IDNTEKNO.ME – Cacat pada perangkat rumah pintar Alexa Amazon dapat memungkinkan peretas mengakses informasi pribadi dan riwayat percakapan, kata peneliti keamanan dunia maya.

Penyerang dapat menginstal atau menghapus aplikasi di perangkat tanpa sepengetahuan pemiliknya, laporan Check Point Research.

Peretasan “hanya membutuhkan satu klik pada tautan Amazon” yang sengaja dibuat oleh penyerang, katanya.

Perusahaan tersebut memberi tahu Amazon tentang kekurangan tersebut, yang sekarang telah diperbaiki.

Amazon berkata: “Keamanan perangkat kami adalah prioritas utama, dan kami menghargai pekerjaan peneliti independen seperti Check Point yang membawa masalah potensial kepada kami.”

Ia mengatakan tidak mengetahui kasus di mana pelaku kejahatan menggunakan kerentanan untuk menargetkan pelanggannya.

Pada bulan Januari, Amazon mengatakan ada “ratusan juta” perangkat Alexa di dunia.

Keterampilan berbahaya
Check Point mengatakan peretasan tersebut membutuhkan pembuatan tautan Amazon yang berbahaya, yang akan dikirim ke pengguna yang tidak menaruh curiga.

Setelah mereka mengklik link tersebut, penyerang bisa mendapatkan daftar semua “keterampilan” Alexa yang diinstal – atau aplikasi – dan mencuri token yang memungkinkan mereka menambah atau menghapus keterampilan.

Salah satu cara untuk menggunakan kekurangannya adalah dengan menghapus sebuah skill dan kemudian menginstal skill jahat yang menggunakan “frase doa” yang sama – rangkaian kata-kata yang diucapkan yang digunakan untuk memicunya. Ini bisa dilakukan tanpa sepengetahuan pengguna.

Kali berikutnya pengguna mencoba mengaktifkan keterampilan itu, itu akan menjalankan aplikasi penyerang sebagai gantinya.

Para penyerang akan dapat melihat riwayat suara Alexa – rekaman percakapan antara pengguna dan perangkat.

Check Point mengatakan ini dapat menimbulkan masalah besar, menunjuk pada keterampilan perbankan yang memungkinkan pengguna memeriksa saldo akun mereka.

“Hal ini dapat menyebabkan tereksposnya informasi pribadi, seperti riwayat data perbankan,” kata mereka – meskipun itu tidak menyimpan detail login perbankan.

Amazon keberatan dengan saran ini, namun, dengan mengatakan bahwa informasi perbankan – seperti saldo – disunting dalam catatan tanggapan Alexa, sehingga tidak dapat diakses.

Serangan itu juga akan memungkinkan akses ke informasi pribadi di profil Amazon, seperti alamat rumah, kata Check Point.

Amazon juga mengatakan pihaknya yakin penggunaan keterampilan jahat rahasia lebih kecil kemungkinannya daripada yang disiratkan oleh para peneliti Check Point.

Dikatakan ada sistem untuk mencegah keterampilan jahat menyerang Alexa Skills Store – dan tinjauan keamanan adalah bagian dari proses mereka.

Aplikasi yang berperilaku buruk juga secara rutin dinonaktifkan, katanya.

“Proses penyaringan mereka mungkin akan menangkap sebagian besar aktor jahat – mereka cukup ahli dalam hal itu dan tahu reputasi mereka dipertaruhkan,” kata pakar keamanan siber Universitas Surrey, Prof Alan Woodward.

“Hal tentang peretasan ini adalah bahwa hal itu disebabkan oleh kerentanan yang terkenal… jadi sangat mengejutkan melihatnya di perkebunan Amazon.”

Dia mengatakan akses ke rekaman suara adalah masalah besar, tetapi tidak yakin apakah peretas lain dapat mengetahui tentang kerentanan di subdomain tertentu yang digunakan untuk meluncurkan serangan tersebut.

“Meskipun jika para peneliti keamanan menemukannya, saya yakin orang yang kurang teliti bisa melakukan hal yang sama.”