东方时讯网
网络安全公司Check Point的研究人员详细介绍了Amazon Alexa语音助手中的多个关键漏洞,从而使其很容易受到黑客攻击。在今天发布的一份报告中,研究人员说,某些Amazon / Alexa子域容易受到跨域资源共享(CORS)错误配置和跨站点脚本的攻击。他们在官方博客中说:“使用XSS,我们可以获取CSRF令牌并代表受害者执行操作。”
根据研究人员的说法,该漏洞可能允许攻击者在未经许可的情况下静默安装或删除用户Alexa帐户上的Alexa“技能”。他们说,黑客还可以访问任何受到感染的Alexa帐户上所有已安装技能的列表。更令人担忧的是,这些漏洞使攻击者能够访问用户的语音历史记录和个人信息。
研究人员说:“实际上,这些漏洞可能使攻击者可以在目标受害者的Alexa帐户上删除/安装技能,访问其语音历史记录并在用户调用已安装的技能时通过技能交互获取个人信息。” 为了成功闯入他人的Alexa帐户,黑客只需要让毫无戒心的用户单击特制的Amazon链接即可。研究人员还说,他们可以通过部署概念验证代码来访问许多用户的电话号码,家庭住址,用户名和数据。
Check Point 于6月份向Amazon披露了调查结果,幸运的是,这家电子商务巨头已修补了漏洞。Check Point产品漏洞研究主管Oded Vanunu表示:“我们进行了这项研究,以突出说明保护这些设备对于维护用户隐私的关键性。” 他说:“非常感谢,亚马逊对我们的披露作出了迅速反应,以消除某些亚马逊/ Alexa子域上的这些漏洞。”