Actualités

Alexa : deux vulnérabilités dévoilées pour l’assistant vocal d’Amazon dont une XSS ! (it “skills” my life…)

Sécuritairement, l’été reste chaud pour ne pas dire brûlant… Depuis Juillet, les vulnérabilités se suivent et, malheureusement, se ressemblent en terme de dangerosité. Après la slave d’attaques par ex-filtration de données (notamment, par le biais de ransomware), voici que les appareils domotiques ou IoT ne sont pas épargnés : en effet, après HDL Automation, voici que l’assistant d’Amazon, Alexa, est au cœur d’une faille XSS (cross-site scripting).

 

Mise en lumière publiquement par l’équipe CheckPoint aujourd’hui – le 13 Août 2020 – la vulnérabilité profite d’une défaillance depuis “certains sous-domaines Amazon / Alexa” mal configurés au niveau du partage de ressources entre origines multiples (en Anglais : CORS, Cross-origin resource sharing). De là, les chercheurs ont pu, entre-autres, collecter le jeton d’authentification, d’accès (token) en exploitant, par la suite, une autre vulnérabilité (CSRF : cross-site request forgery) : il s’agit d’une attaque déjà éprouvée sur d’autres sites, ces derniers jours dont Meetup, LastPast ou encore Zoom

 

Côté mise en œuvre, le détournement – par XSS – prend son sein depuis le HPKP (HTTP Public Key Pinning), une protection pour préserver l’intégrité du trafic-Web où celui-ci est désactiver grâce à un script dédié (Frida SSL). Une fois le trafic mis à nu, le CORS s’est révélé vulnérable du fait d’un envoi depuis presque n’importe quel sous-domaine jointé avec l’assistant d’Amazon. Comme souligné par l’équipe sécuritaire, un effet de domino, par injection de code, aurait pu être pratiqué depuis l’un de ces sous-domaines, depuis une simple requêtes Ajax. Parmis les types d’attaques possibles, une a été dévoilée publiquement : il s’agit de l’attaque CSRF qui a permis la déviance du jeton d’accès ; et la déviance d’Alexa… depuis le site Amazon.

 

En effet, comme on peut le voir dans l’illustration ci-dessous, le PoC démontre, côté utilisateur, un point de départ depuis un lien (malicieux, bien sûr) dans “skills and games” du site, depuis “Amazon Prime Insider“. De là, en cliquant sur ce lien, la phrase fait office de vecteur d’attaque en déclenchant cette dernière. De manière rassurante, le billet notifie les précautions sécuritaires effectuées par Amazon, telles  que les blocages ou désactivations effectuées, par une certification qui aura, probablement comme ici, été révélée non-légitime.

 

En finalité, par la combinaisons de ces deux vulnérabilités, un individu malveillant peut installer / désinstaller des applications discrètement, obtenir l’historique-activité, obtenir l’historique des appels voire obtenir l’ensemble des informations du profil-compte relié à Alexa. Amazon aurait été informé de ces failles en Juin dernier et aurait comblés ces intrusions sécuritaires… A veiller !

 

 

Source : CheckPoint – 13 Août 2020 – Amazon : Deux failles critiques pour Alexa (XSS, CSRF) depuis une configuration défaillante (AJAX) des sous-domaines dédiés.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020