הסייעת הקולית "אלכסה" של אמזון לא הייתה מוגנת מספיק: חוקרי חברת אבטחת המידע צ'ק פוינט חשפו שורה של חולשות אבטחה משמעותיות בסייעת הקולית הפופולרית, שאיפשרו לתוקפים לעשות שלל פעולות מרחוק - כולל התקנה והפעלה של יישומים, שאיבת מידע רגיש ואפילו גישה להיסטוריית השיחות והפעולות. הממצאים דווחו לאמזון, שפעלה לתיקון החולשות.
הדגמת ניצול החולשות באלכסה של אמזון
(צילום: צ'ק פוינט)
המחקר הראה כי באמצעות קבלת קישור זדוני, המוצג ככזה שנשלח מטעם אמזון למשל, תוקפים יכלו לקבל גישה מוחלטת למידע רגיש של משמשים. ללא ידיעת המשתמש, יכלו התוקפים לקבל את שמות המשתמש והסיסמאות לשירות, את היסטוריית הפעולות, את הפקודות הקוליות, וכן לבחור להפעיל, להתקין או למחוק יישומים. כ-200 מיליון מכשירים מבוססי הסייעת הקולית אלכסה נמכרו ברחבי העולם, ואף שהם לא מיובאים באופן רשמי לישראל - גם כאן יש כמה אלפי רמקולים חכמים.
אופי השימוש ברמקול חכם הוא מגוון ורגיש, ולכן המידע שמצטבר בתוכנה המפעילה אותו הוא חיוני. בארה"ב למשל, משתמשים יכולים לא רק לבצע שאילתות פשוטות, אלא גם לנהל שיחות, לערוך רשימות קניות ולהזמין מוצרים הביתה - כך שגם המידע הפיננסי חשוף לפגיעה. המחקר של צ'ק פוינט בוצע במשפחת מכשירי "אמזון אקו" - הרמקולים החכמים של ענקית הטכנולוגיה, אולם אפשר למצוא את הסייעת הקולית אלכסה בשלל מכשירים חכמים, כך שתיאורטית לפחות, גם אלה עשויים היו להיות פגיעים.
עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט, אמר כי "מכשירים דיגיטליים הפכו לחלק בלתי נפרד מהחיים שלנו, ולעיתים אנחנו לא מרגישים עד כמה הם אוגרים מידע רגיש עלינו. האקרים מחפשים גישה למידע כזה כל הזמן, לרגל אחרי אנשים ולבצע פעולות שיניבו עבורם רווח ללא ידיעת הקורבנות. לכן, אנו בודקים פלטפורמות פופולריות מעין אלו, שהופכות למשאב מידע עצום. לשמחתנו, אמזון הגיבו במהירות לממצאים שלנו ותיקנו אותם, ואנו מקווים שיצרנים נוספים של פלטפורמות צרכניות יוודאו שהן שומרות באופן מספק על המידע האישי שנמצא עליהן".
