安全研究人员发现了亚马逊的Alexa语音平台中的一个漏洞。被利用时,Check Point Research表示,该漏洞可能使攻击者能够访问用户的个人信息。其中包括用户的Amazon帐户详细信息以及语音记录。
研究人员在使用Alexa智能手机应用程序进行测试时发现了该漏洞。他们使用脚本绕过了为保护应用程序流量而实现的机制,从而使他们能够以明文形式查看它。他们发现,该应用程序发出的多个请求的策略配置错误,可能会被绕开以从恶意方控制的域发送请求。
在现实世界中,不良行为者本可以说服一个毫无戒心的用户单击指向实际上具有代码注入功能的亚马逊恶意链接。一旦单击,攻击者就可以掌握Alexa上用户安装的应用程序和技能的列表。他们还将能够为受害者远程安装并启用新技能。更为严重的攻击者还可以从其Alexa帐户中掌握用户的语音记录以及个人信息。
Check Point产品漏洞研究主管Oded Vanunu在新闻稿中说:
智能扬声器和虚拟助手非常普遍,因此很容易忽略它们拥有多少个人数据,以及它们在控制家庭其他智能设备中的作用。但是黑客将它们视为人们生活的切入点,使他们有机会在所有者不知情的情况下访问数据,窃听对话或进行其他恶意行为。
Vanunu补充说,这家研究公司早在6月份就强调了亚马逊的漏洞,并通过修复此漏洞做出了回应。“我们进行了这项研究,以强调保护这些设备对于维护用户隐私至关重要。值得庆幸的是,亚马逊迅速对我们的披露做出了回应,以关闭某些亚马逊/ Alexa子域上的这些漏洞,”他说。
