Phát hiện lỗ hổng trong trợ lý ảo Amazon Alexa khiến dữ liệu người dùng có nguy cơ bị đánh cắp

Các nhà nghiên cứu đến từ công ty bảo mật quốc tế Check Point vừa đưa ra thông báo quan trọng vào hôm 14/8, cho biết họ đã tìm thấy một lỗ hổng mang tính hệ thống xuất hiện trong trợ lý ảo Alexa, mở đường cho tin tặc tiếp cận và lấy cắp dữ liệu lịch sử giọng nói và thiết lập kỹ năng Alexa mà người dùng không hề hay biết. Điều này có nghĩa là các cuộc trò chuyện với Alexa liên quan đến dữ liệu cá nhân của người dùng có thể bị hacker chiếm đoạt và sử dụng để xâm nhập vào thiết bị Amazon của họ.

Theo giải thích của các chuyên gia Check Point, sau khi lấy được dữ liệu cá nhân của chủ sở hữu thiết bị Alexa, tin tặc hoàn toàn có thể đóng giả là người dùng hợp pháp, xóa một kỹ năng đã cài đặt và thay thế nó bằng phiên bản đã được sửa đổi có chứa mã độc hại. Do đó, nếu chương trình chứa mã độc được kích hoạt, tin tặc có thể lấy được dữ liệu nhạy cảm của người dùng bằng cách nghe trộm các cuộc trò chuyện. Những thông tin này có thể liên quan đến các giao dịch tài chính, chi tiết tình trạng sức khỏe hoặc các trao đổi mang tính chất cá nhân mà người dùng có thể nói ra trong khi tương tác với trợ lý ảo của Amazon.

Một chiến thuật tiếp cận điển hình mà hacker có thể sử dụng là tạo liên kết hợp pháp đến một trang web được sử dụng để theo dõi thông tin mua sắm trên Amazon. Sau khi người dùng nhấp vào liên kết, sẽ có một “lối tắt” được thiết lập cho phép tin tặc hoán đổi các kỹ năng thông thường mà người dùng đã cài đặt trên thiết bị Alexa của họ bằng những kỹ năng độc hại.

"Loa thông minh và trợ lý ảo phổ biến đến nỗi chúng ta dễ dàng lơ là, bỏ qua lượng dữ liệu cá nhân mà chúng nắm giữ, và vai trò của chúng trong việc kiểm soát các thiết bị thông minh khác xung quanh mình, kể cả smartphone. Trên thực tế, tin tặc coi các thiết bị tích hợp trợ lý ảo này là cây cầu nối lý tưởng để triển khai các hoạt động độc hại, tạo cơ hội cho chúng truy cập dữ liệu, nghe trộm các cuộc trò chuyện hoặc thực hiện các hành động vi phạm khác mà nạn nhân không hề hay biết”, Oded Vanunu, trưởng bộ phận nghiên cứu lỗ hổng sản phẩm tại Check Point, cho biết.

Amazon cho biết họ đang triển khai bản vá cho lỗ hổng, đồng thời xác minh xem có bất kỳ vi phạm thực tế nào liên quan đến lỗ hổng đã xảy ra hay không.

"Chúng tôi chưa tiếp nhận thông tin về bất cứ trường hợp rủi ro nào có liên quan đến lỗ hổng này, hoặc về bất kỳ trường hợp dữ liệu khách hàng nào bị rò rỉ thông qua lỗ hổng", một phát ngôn viên của Amazon khẳng định.

Theo mặc định, Amazon lưu giữ dữ liệu hội thoại giọng nói giữa người dùng với thiết bị Echo như một phần trong nỗ lực cải thiện thuật toán trí tuệ nhân tạo của mình. Nhân viên của Amazon cũng có thể lắng nghe những trao đổi này. Tất nhiên, người dùng cũng có thể chọn từ chối quyền truy cập vào các cuộc trò chuyện đó thông qua ứng dụng Alexa. Ngoài ra, cũng có thể thiết lập xóa lịch sử thoại tự động trong vòng 3 hoặc 18 tháng một lần, cũng như tự xóa theo cách thủ công, hàng ngày, hàng tuần.

Theo thống kê, hiện có hơn 200 người đang sử dụng các thiết bị Amazon Echo, Dot và Show tích hợp sẵn trợ lý ảo Alexa.