Mapeamento de vulnerabilidades no Amazon Echo através do uso de Alexa Skills

Abstract

Contextualização: A Amazon Alexa é uma das assistentes virtuais mais utilizadas no mundo e o Amazon Echo é um dos dispositivos IoT que mais está presente em casas. Considerando que o ecossistema Alexa Skills permite que desenvolvedores não-afiliados a Amazon publiquem Skills que podem ser utilizadas por usuários finais, é interessante verificar se essas funcionalidades podem ser abusadas por estes. Objetivos: O objetivo deste trabalho é mapear vulnerabilidades conhecidas pela literatura no ecossistema Alexa Skills e reproduzir seus resultados de forma a verificar se ainda podem ser exploradas. Métodos: O mapeamento é realizado através da leitura da literatura existente e da documentação disponibilizada pela Amazon sobre o funcionamento de seus sistemas. A reprodução de resultados é realizada através do uso do console de desenvolvedor Alexa para a criação de Skills de teste que fazem uso das técnicas estabelecidas previamente. Resultados: No capítulo 4 foram listadas dez fraquezas que podem ser exploradas como vulnerabilidades para uso em ataques, bem como uma vulnerabilidade específica utilizada na literatura. Nos experimentos realizados foi possível reproduzir os ataques de Skill Squatting, Alexa vs Alexa, Mask Attack e Bypass de API de informações sensíveis, incluindo o uso de formas de contornar barreiras implementadas pela Amazon desde a publicação dos artigos originais. Conclusões: Conclui-se que os ataques listados ainda são viáveis, com pequenas modificações e que, portanto, é possível utilizar um dispositivo Amazon Echo como vetor de ataque contra usuários.