安全研究人员在亚马逊的Alexa语音平台上发现了一个bug。当被利用时,检查点研究表明该漏洞可能使攻击者能够访问用户的个人信息。包括亚马逊账号详情和用户语音记录。
研究人员在用Alexa智能手机应用程序进行测试时发现了这个漏洞。他们使用脚本绕过为保护应用程序流量而实现的机制,这样他们就可以以明文形式查看流量。他们发现应用程序发送的多个请求的策略配置错误,可能会被绕过,从恶意方控制的域发送请求。
在现实世界中,坏人本可以说服一个毫无戒心的用户点击一个指向亚马逊的恶意链接,而亚马逊实际上具有代码注入功能。一旦点击,攻击者就可以掌握用户在Alexa上安装的应用程序和技能列表。他们还能够远程安装和启用受害者的新技能。更严重的攻击者还可以从用户的Alexa帐户中掌握用户的语音记录和个人信息。
Check Point产品漏洞研究主管奥德瓦努努在一份新闻稿中表示:
智能音箱和虚拟助手非常常见,因此很容易忽略它们拥有多少个人数据,以及它们在控制家中其他智能设备方面的作用。但黑客把它们当成了人们生活的切入点,让它们有机会在主人不知情的情况下访问数据、窃听对话或实施其他恶意行为。
瓦努努补充说,该研究公司早在6月份就强调了亚马逊的漏洞,并通过修复来应对。“我们进行这项研究是为了强调保护这些设备对于维护用户隐私至关重要。幸运的是,亚马逊迅速回应了我们的披露,关闭了一些亚马逊/Alexa子域中的这些漏洞,”他说。