Après avoir épluché les failles du DSP des SoC Snapdragon de Qualcomm, les chercheurs en sécurité de Check Point Research annoncent avoir trouvé des failles dans l'assistant numérique Alexa d'Amazon, présent dans des dizaines de millions d'appareils à travers le monde.
Ils décrivent la possibilité de récupérer des informations personnelles, les historiques de conversation et la liste des " skills " (services supplémentaires installables par l'utilisateur et fournis par des entreprises tierces), avec la capacité d'en ajouter ou d'en retirer de façon transparente pour l'utilisateur.
L'exploitation de ces failles est liée à une mauvaise configuration permettant d'exécuter des scripts via l'application compagnon sur smartphone. Certaines données personnelles peuvent être récupérées par différentes requêtes tandis que des tokens peuvent être injectées pour modifier la liste des skills, en ajouter en ou retirer.
Outre des informations liées aux profils des comptes Alexa, il est possible par cette méthode de récupérer la liste des commandes vocales auxquelles l'assistant a réagi et les réponses qu'il a fournies.
Le danger était aussi de pouvoir prendre le contrôle de certains objets IoT pouvant être pilotés depuis Alexa, notamment pour la domotique ou la fermeture de portes et fenêtres.
Les chercheurs de Check Point Research ont soumis leurs trouvailles à Amazon au début de l'été et le groupe américain a déjà procédé aux corrections nécessaires.
