Zestawienie tygodniowe 10 – 17 sierpnia

Alexa niebezpieczna

Badacze bezpieczeństwa Check Point zidentyfikowali szereg luk, które potencjalnie stwarzały możliwość dla różnych ataków wymierzonych w Alexę, wirtualną asystentkę Amazona. Ataki obejmowały błędną konfigurację Cross-Origin Resource Sharing (CORS) i błędy Cross Site Scripting (XSS) zidentyfikowane w subdomenach Amazon i Alexa, co ostatecznie umożliwiło badaczom wykonywanie różnych działań w imieniu uprawnionych użytkowników.

Pomyślne wykorzystanie tych luk w zabezpieczeniach może pozwolić napastnikowi na uzyskanie danych osobowych użytkownika Alexa, a także historii jego głosu z Alexą, ale także zainstalowanie aplikacji w imieniu użytkownika.

„Pomyślna eksploatacja wymagałaby tylko jednego kliknięcia w link do Amazon, który został specjalnie spreparowany przez atakującego” – wyjaśniają badacze bezpieczeństwa firmy Check Point, którzy opublikowali film demonstrujący wady. Aby przeprowadzić atak, przeciwnik musiałby utworzyć złośliwy odsyłacz, który przekieruje użytkownika na stronę amazon.com, wysłać go do ofiary i nakłonić do kliknięcia. Osoba atakująca potrzebowałaby możliwości wstrzyknięcia kodu na stronie docelowej. Następnie osoba atakująca wysyła żądanie Ajax z plikami cookie użytkownika na stronę amazon.com/app/secure/your-skills-page, co umożliwia im pobranie listy „umiejętności” zainstalowanych na koncie Alexa ofiary.

Odpowiedź, jak twierdzi Check Point, zawiera również token CSRF, za pomocą którego atakujący może usunąć jedną wspólną „umiejętność” z listy. Następnie atakujący może użyć tej samej frazy wywołania, aby zainstalować „umiejętność”, w wyniku czego użytkownik aktywuje „umiejętność” atakującego zamiast oryginalnej.

Badacze bezpieczeństwa zauważają, że chociaż Amazon nie rejestruje danych logowania do banku, osoba atakująca może uzyskać dostęp do interakcji użytkowników z umiejętnościami bankowymi i pobrać historię danych. Co więcej, nazwy użytkowników i numery telefonów można również odzyskać w oparciu o zainstalowane umiejętności.

Amazon został powiadomiony o wykrytych lukach w czerwcu 2020 roku i już się nimi zajął. Firma posiada mechanizmy bezpieczeństwa, które zapobiegają publikowaniu złośliwych „umiejętności” w jej sklepie.

„Bezpieczeństwo naszych urządzeń jest najwyższym priorytetem i doceniamy pracę niezależnych badaczy, takich jak Check Point, którzy zgłaszają nam potencjalne problemy. Naprawiliśmy ten problem wkrótce po tym, jak zwrócono nam na to uwagę i kontynuujemy dalsze wzmacnianie naszych systemów Nie wiemy o żadnych przypadkach wykorzystania tej luki na naszych klientach ani o ujawnieniu jakichkolwiek informacji o klientach” – powiedział rzecznik Amazon w rozmowie z SecurityWeek.

Tysiące kont rządowych zhakowanych w Kanadzie

W sobotę władze Kanady poinformowały, że podczas cyberataków, tysiące kont użytkowników internetowych usług rządowych zostało zhakowanych. Ataki były wymierzone w usługę GCKey, z której korzysta około 30 departamentów federalnych w tym te odpowiadające za rachunki Kanadyjskiej Agencji Skarbowej – wyjaśnił Sekretariat Ministerstwa Skarbu Kanady w komunikacie prasowym.

Hasła i nazwy użytkowników 9 041 posiadaczy kont GCKey „zostały pozyskane w sposób oszukańczy i użyte do prób uzyskania dostępu do usług rządowych” – czytamy w komunikacie.

Wszystkie konta, których dotyczy problem, zostały zlikwidowane. Władze podały, że celem tego i innego ataku było około 5500 kont Kanadyjskiej Agencji Skarbowej, dodając, że dostęp do tych kont został zawieszony w celu ochrony informacji o podatnikach.

Władze podały, że dochodzenie zostało wszczęte przez rząd i policję federalną w celu ustalenia, czy doszło do naruszenia prywatności i czy uzyskano informacje z tych kont. Według CBC, wielu Kanadyjczyków zgłosiło od początku sierpnia, że ich informacje bankowe powiązane z kontami Kanadyjskiego Urzędu Skarbowego zostały zmienione.