Des failles dans l'assistant Alexa d'Amazon permettent de récupérer des données personnelles

Le par Christian D.  |  1 commentaire(s) | Source : Check Point Research
Amazon-Echo-Dot

Les experts en sécurité de Check Point Research ont mis en évidence des failles au sein de l'assistant numérique Alexa d'Amazon permettant de récupérer des informations personnelles et des historiques de conversation.

Après avoir épluché les failles du DSP des SoC Snapdragon de Qualcomm, les chercheurs en sécurité de Check Point Research annoncent avoir trouvé des failles dans l'assistant numérique Alexa d'Amazon, présent dans des dizaines de millions d'appareils à travers le monde.

Ils décrivent la possibilité de récupérer des informations personnelles, les historiques de conversation et la liste des " skills " (services supplémentaires installables par l'utilisateur et fournis par des entreprises tierces), avec la capacité d'en ajouter ou d'en retirer de façon transparente pour l'utilisateur.

L'exploitation de ces failles est liée à une mauvaise configuration permettant d'exécuter des scripts via l'application compagnon sur smartphone. Certaines données personnelles peuvent être récupérées par différentes requêtes tandis que des tokens peuvent être injectées pour modifier la liste des skills, en ajouter en ou retirer.

nouveau-amazon-echo

Outre des informations liées aux profils des comptes Alexa, il est possible par cette méthode de récupérer la liste des commandes vocales auxquelles l'assistant a réagi et les réponses qu'il a fournies.

Le danger était aussi de pouvoir prendre le contrôle de certains objets IoT pouvant être pilotés depuis Alexa, notamment pour la domotique ou la fermeture de portes et fenêtres.

Les chercheurs de Check Point Research ont soumis leurs trouvailles à Amazon au début de l'été et le groupe américain a déjà procédé aux corrections nécessaires.

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
Wanezgeen offline Hors ligne Héroïque icone 882 points
Le #2105941
Qui l'eut cru !
icone Suivre les commentaires
Poster un commentaire