在現(xiàn)實世界中,壞人可能會說服不知情的用戶點擊一個連接到Amazon的惡意鏈接,該鏈接實際上具有代碼注入功能。一旦被點擊,攻擊者就能獲得用戶在Alexa上安裝的應用和功能列表。另外,他們
據(jù)外媒neowin報道,安全研究人員在亞馬遜的Alexa語音平臺上發(fā)現(xiàn)了一個漏洞。Check Point Research表示,當漏洞被利用時,攻擊者可能會獲得用戶的個人信息,這些信息包括用戶的亞馬遜賬號信息以及語音歷史。
研究人員在對Alexa智能手機應用進行測試時發(fā)現(xiàn)了這個漏洞。他們使用一個腳本繞過了保護應用流量的機制,該機制則允許他們以明文查看該應用。他們還發(fā)現(xiàn),該應用發(fā)出的幾個請求存在策略配置錯誤情況,這可能會使其繞過該策略從而從惡意方控制的域發(fā)送請求。
在現(xiàn)實世界中,壞人可能會說服不知情的用戶點擊一個連接到Amazon的惡意鏈接,該鏈接實際上具有代碼注入功能。一旦被點擊,攻擊者就能獲得用戶在Alexa上安裝的應用和功能列表。另外,他們還可以遠程為受害者安裝和啟用新技能。更嚴重的攻擊者還可以從用戶的Alexa賬號中獲取他們的語音歷史以及個人信息。
Check Point的產(chǎn)品漏洞研究負責人Oded Vanunu在一份新聞稿中說道:“智能揚聲器和虛擬助手如此普遍,以至于人們很容易忽視它們所擁有的個人數(shù)據(jù)以及它們在控制我們家中其他智能設(shè)備方面所起的作用。但黑客將其視為進入人們生活的入口,讓他們有機會在所有者不知情的情況下訪問數(shù)據(jù)、竊聽對話或進行其他惡意行為。”
Vanunu補充稱,該研究公司在6月份就向亞馬遜強調(diào)過這一缺陷,后者也做出了修復回應。“我們開展這項研究是為了強調(diào)保護這些設(shè)備對維護用戶隱私是怎樣得重要。謝天謝地,亞馬遜對我們的泄露做出了迅速反應,他們關(guān)閉了某些亞馬遜/Alexa子域名上的這些漏洞。”
關(guān)鍵詞:
