Als je niet al een hebt twee-factor authenticatie ingeschakeld voor uw Amazon-account, nu is de goede tijd. In een recente topontmoeting van het SANS Institute, een eigen informatiebeveiliging en cybersecurity-bedrijf, werd opgemerkt dat, omdat de Alexa app niet nodig 2FA, accounts kunnen worden geopend door iedereen die toegang heeft tot een individuele Amazon referenties.
Brian Moran van digitaal forensisch onderzoek bedrijf BriMor Labs ontdekte het probleem bij het testen van de app op meerdere apparaten. Als hij wordt gevonden, de eerste teken-in de door een gebruiker op een mobiel apparaat vereist een PIN geleverd via SMS of de gebruiker, maar dit is de enige keer dat 2FA is vereist.
Dit betekent, zoals beschreven in de SANS presentatie, als u toegang hebt tot Amazon referenties, je kon aanmelden voor een account op elk apparaat en:
- Zorg Alexa oproepen als een andere persoon
- Ontvangen Alexa oproepen naar een ander persoon
- Stuur Alexa berichten als een andere persoon
- Ontvangen Alexa berichten die zijn verzonden naar een andere persoon
- Hebben op een ander persoon Alexa contactpersonen gesynchroniseerd met uw apparaat
Dit alles kan gebeuren zonder dat de oorspronkelijke gebruiker ooit te weten over de activiteit. Natuurlijk, als een andere gebruiker heeft uw Amazon referenties, er zijn ergere dingen die kunnen gebeuren, afgezien van de oproepen gebeurt via uw account. Maar gezien de nieuwe Echo laten Zien kunt u de “drop-in” en kijk naar een vertrouwd contactpersoon vanuit de binnenkant van hun huis, het is nog een andere reden voor het inschakelen van 2FA op uw Echo-apparaten.