Из-за багов данные пользователей Amazon Alexa были доступны для посторонних - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

      
      
  • 24 марта 2016, 16:20
17-08-2020, 12:35
Из-за багов данные пользователей Amazon Alexa были доступны для посторонних - «Новости»
Рейтинг:
Категория: Новости

В июне текущего года исследователи из компании Check Point обнаружили ряд опасных уязвимостей, которые открывали для атак виртуального помощника Amazon Alexa и его пользователей.


Проблемы представляли собой CORS и XSS баги, а также проблемы в конфигурации, и они затрагивали некоторые поддомены  Amazon. Эксплуатируя эти баги, злоумышленники могли получить доступ к личным данным (имена пользователей, телефонные номера, домашние адреса, голосовая история) и выполнять различные действия от имени жертв (к примеру, удалять и устанавливать навыки для Alexa).


«Для успешной эксплуатации [проблем] требовался всего один щелчок по ссылке, специально созданной злоумышленником», — пишут исследователи.


Для успешной атаки злоумышленнику действительно необходимо было создать вредоносную ссылку, которая направляла бы пользователя на amazon.com, и отправить ее жертве (каким-то образом вынудив пользователя кликнуть по ней). Исследователи предложили использовать для этих целей уязвимую track.amazon.com, —  эта страница не связана с Alexa, а используется для отслеживания посылок с Amazon, и ранее на нее можно было внедрить вредоносный код.


После злоумышленник отправлял Ajax-запрос с полученными файлами cookie пользователя на amazon.com/app/secure/your-skills-page, что позволяло получить список навыков, установленных для этой учетной записи Alexa.


"Тихое" удаление навыка

Ответ на такой запрос содержал и токен CSRF, который атакующий мог использовать для удаления одного навыка из списка. Затем злоумышленник мог таким же образом установить на устройство собственный вредоносный навык для Alexa. Подмена удаленного навыка собственным открывала перед преступником немало возможностей, в зависимости от навыков, установленных на устройстве пользователя. К примеру, можно было получить доступ к голосовой истории жертвы, а затем к именам пользователей, номерам телефонов, домашним адресам, банковским данным (Alexa не записывает учетные данные для входа в банкинг, однако фиксирует прочие взаимодействия).




«Умные колонки и виртуальные помощники кажутся настолько непримечательными, что, порой, мы упускаем из виду их роль в управлении умным домом, а также то, сколько личных данных они хранят. По этой причине, хакеры рассматривают подобные приложения, как точки входа в жизнь людей, благодаря которым они могут получить доступ к личным данным, подслушивать разговоры и совершать иные вредоносные действия без ведома пользователя, — говорит Одед Вануну (Oded Vanunu), глава отдела исследования уязвимостей Check Point Software Technologies. — Цель нашего исследования — освещение необходимости обеспечения безопасности таких устройств, как Alexa.  К счастью, специалисты Amazon быстро исправили уязвимости в поддоменах Amazon/Alexa. Мы надеемся, что производители подобных устройств последуют примеру Amazon и проверят свои продукты на наличие уязвимостей, которые потенциально могут компрометировать конфиденциальность пользователей».


В настоящее время инженеры Amazon уже исправили все обнаруженные уязвимости. Также представители компании заявили, что им неизвестно о каких-либо случаях использования этих проблем или о раскрытии какой-либо информации о клиентах.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В июне текущего года исследователи из компании Check Point обнаружили ряд опасных уязвимостей, которые открывали для атак виртуального помощника Amazon Alexa и его пользователей. Проблемы представляли собой CORS и XSS баги, а также проблемы в конфигурации, и они затрагивали некоторые поддомены Amazon. Эксплуатируя эти баги, злоумышленники могли получить доступ к личным данным (имена пользователей, телефонные номера, домашние адреса, голосовая история) и выполнять различные действия от имени жертв (к примеру, удалять и устанавливать навыки для Alexa). «Для успешной эксплуатации _
Просмотров: 458
Комментариев: 0:   17-08-2020, 12:35
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: