Kali ini ditemukan kerentanan dalam subdomain layanan Amazon Alexa, yang mana memungkinkan penyerang untuk mencari informasi identitas pribadi (PII) dan rekaman suara pengguna.
Check Point Research mengatakan pada hari Kamis (14/08/2020) bahwa masalah keamanan disebabkan oleh subdomain Amazon Alexa yang rentan terhadap serangan cross-site scripting (XSS) dan ada kesalahan konfigurasi Cross-Origin Resource Sharing (CORS).
Saat Check Point pertama kali mulai memeriksa aplikasi seluler Alexa, perusahaan memperhatikan adanya mekanisme SSL yang mencegah pemeriksaan lalu lintas. Namun, skrip yang digunakan dapat dilewati menggunakan skrip unpinning universal SSL Frida.
Hal ini menyebabkan ditemukannya kesalahan konfigurasi CORS, yang memungkinkan permintaan Ajax dikirim dari subdomain Amazon.
Jika subdomain ternyata rentan terhadap injeksi kode, serangan XSS dapat diluncurkan, dan ini dapat dilakukan melalui track[.]amazon[.]com dan skillstore[.]amazon[.]com.
Menurut Check Point, yang diperlukan untuk mengekploitasi kerentanan ini hanyalah target mengklik tautan berbahaya. Seorang korban yang diarahkan ke domain phishing misalnya, dapat terkena injeksi kode dan pencurian cookie terkait Amazon pengguna.
Penyerang kemudian akan menggunakan cookie ini untuk mengirim permintaan Ajax ke skill store Amazon, di mana permintaan tersebut akan mengirim kembali daftar semua skill yang dipasang di akun Amazon Alexa korban.
Dengan meluncurkan serangan XSS, peneliti Check Point dapat memperoleh token CSRF dan, oleh karena itu, penyerang bisa melakukan tindakan sambil menyamar sebagai korban. Ini bisa termasuk menghapus atau menginstal skill Alexa, menggunakan token CSRF untuk menghapus skill dan kemudian menginstal skill baru.
Jika korban menggunakan skill baru ini tanpa disadari, maka akan memungkinkan penyerang untuk mengakses rekaman riwayat suara, serta menyalahgunakan skill interaksi untuk mengambil informasi pribadi.
Selama pengujian eksploitasi, Check Point bisa mendapatkan nomor telepon, alamat rumah, nama pengguna, dan riwayat data perbankan secara teoritis.
“Amazon tidak mencatat akun login perbankan Anda, tetapi interaksi Anda dicatat, dan karena kami memiliki akses ke riwayat obrolan, kami dapat mengakses interaksi korban dengan skill bank dan mendapatkan riwayat data mereka,” kata peneliti. “Kami juga bisa mendapatkan nama pengguna dan nomor telepon, tergantung pada skill yang dipasang di akun Alexa pengguna.”
Namun, Alexa menyunting informasi perbankan secara khusus dalam riwayat dan log.
Baca Juga: “Kerentanan Dalam “Find My Mobile” Membuat Riskan Para Pengguna Ponsel Samsung“
Penyalahgunaan skill adalah bentuk serangan yang menarik dan cara potensial bagi penjahat siber untuk memasuki rumah pengguna – meskipun tenggat waktu sebelum skill berbahaya terlihat dan dihapus mungkin pendek.
“Penting untuk dicatat bahwa Amazon melakukan tinjauan keamanan sebagai bagian dari sertifikasi skill, dan terus memantau skill secara langsung untuk kemungkinan adanya perilaku berbahaya,” kata peneliti. “Setiap skill mencurigakan yang diidentifikasi diblokir selama sertifikasi atau dengan cepat dinonaktifkan.”
Tim peneliti Check Point melaporkan temuan mereka ini secara pribadi ke Amazon pada bulan Juni, dan saat ini masalah keamanan tersebut telah diperbaiki.
