У дослідженні, представленому на цьому тижні на конференції Network and Distributed System Security Symposium (NDSS), експерти вивчили уразливості в процесі, який Amazon використовує для перевірки сторонніх додатків Alexa, відомих як Skills.
В ході дослідження вчені з США і Німеччини проаналізували 90194 додатки Skills, доступні в семи країнах, і виявили прогалини в безпеці, що роблять можливими шкідливі дії.
Зокрема, дослідникам вдалося опублікувати Skills, використовуючи назви добре відомих компаній, що істотно полегшує атаки з використанням методів соціальної інженерії (наприклад, фішингові атаки). Більш того, після проходження всіх перевірок вчені змогли внести в свій код корективи.
“Ми продемонстрували, що зловмисник може не тільки опублікувати Skills під будь-якою довільною назвою розробника, але також внести зміни у внутрішній код після затвердження з метою виманити у користувачів небажану інформацію”, – повідомили вчені в своїй статті.
Відсутність перевірок змін логіки на сервері Skills дозволяє зловмисникам міняти відповідь Alexa на існуючу тригерну фразу або активувати раніше схвалену неактивну фазу. Таким чином, Skills можуть, наприклад, почати запитувати дані кредитних карт.
Дослідники також виявили способи обходу системи дозволів, використовуваної Amazon для захисту конфіденційних даних Alexa. Проблема полягає в тому, що навіть якщо розробник не заявляє про намір використовувати API для чутливих даних (наприклад, кредитних карт), це не заважає його Skills запитувати або збирати таку інформацію. В цілому вчені виявили 358 додатків Skills, здатних запитувати інформацію, яка повинна бути захищена за допомогою permission API.
Як встановили вчені, великою популярністю користується так званий сквотинг Skills, коли Skills намагаються змусити користувачів викликати їх ненавмисно за допомогою фраз і назв, схожих на справжні фрази і назви для цих Skills.
І нарешті, дослідники виявили, що тільки 24,2% Alexa Skills не розкривають зібрані дані повністю, а 23,3% не можуть адекватно пояснити типи даних, пов’язані із затребуваними дозволами.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ
Що таке спуфінг і як запобігти атаці? ПОРАДИ
Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу
Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ
Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ
Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ
Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ
Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.
Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.
Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.
Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.