亚马逊亚历克萨子域中的安全漏洞允许黑客在目标受害者的Alexa账户中删除或安装技能,访问其语音历史和个人数据,通过网络安全公司检查点进行研究。
亚马逊在报告后不久修复了这个问题,检查点说。
攻击需要用户在黑客制作的恶意链接上单击,受害者的语音交互。
亚马逊的回声智能扬声器在全球销售超过2亿台,是Byalexa的动力,能够在家庭自动化系统中进行语音交互,设置警报,音乐播放和控制智能设备。
用户可以通过安装“技能”来扩展Alexa的功能,这是语音驱动的应用程序。
但是,存储在用户Alexa帐户和设备用作家庭自动化控制器的个人信息使它们成为黑客的有吸引力的黑客目标。
检查点表示,其研究人员展示了他们在某些亚马逊/ alexa子域中发现的漏洞可以由黑客制作和发送到目标用户的恶意链接,这似乎来自亚马逊。如果用户单击该链接,则攻击者可以:访问受害者的个人信息,例如银行数据历史,用户名,电话号码和家庭地址提取受害者的语音历史,并在用户的Alexa帐户上默默地安装技能(应用程序)查看Alexa用户帐户的整个技能列表默默地删除已安装的技能“智能扬声器和虚拟助手是如此常见的是,它很容易忽略他们所拥有的个人数据,以及他们在控制家中的其他智能设备方面的角色,”遗漏漏洞检查点的产品漏洞首脑调查主管。
“但黑客认为他们作为民族的生活进入,让他们有机会访问数据,窃听对话或在没有主人意识的情况下进行其他恶意行动,”他补充道。
Vanunu表示,该研究进行了高速公路“保护这些设备对维护用户的隐私至关重要”。
“谢天谢地,亚马逊很快回复了我们的披露,以关闭某些亚马逊/ alexa子域的这些漏洞。我们希望类似设备的制造商遵循亚马逊的示例并检查他们的产品,以危及用户隐私的漏洞,“他说。
检查点以前对Tiktok,WhatsApp和Fortnite进行了研究。
“Alexa授予我们一段时间,虽然它占据了与IoT设备的无处理和连接。这是这些Mega数字平台,可以最伤害我们。因此,他们的安全水平至关重要,“Vanunu说。