【亞馬遜Alexa現漏洞:可能曝光用戶個人信息及語音歷史】據外媒neowin報導,安全研究人員在亞馬遜的Alexa語音平台上發現了一個漏洞。Check Point Research表示,當漏洞被利用時,攻擊者可能會獲得用戶的個人信息,這些信息包括用戶的亞馬遜賬號信息以及語音歷史。

研究人員在對Alexa智能手機應用進行測試時發現了這個漏洞。他們使用一個腳本繞過了保護應用流量的機製,該機製則允許他們以明文查看該應用。他們還發現,該應用發出的幾個請求存在策略配置錯誤情況,這可能會使其繞過該策略從而從惡意方控制的域發送請求。

在現實世界中,壞人可能會說服不知情的用戶點擊一個連接到Amazon的惡意鏈接,該鏈接實際上具有代碼注入功能。一旦被點擊,攻擊者就能獲得用戶在Alexa上安裝的應用和功能列表。另外,他們還可以遠程為受害者安裝和啟用新技能。更嚴重的攻擊者還可以從用戶的Alexa賬號中獲取他們的語音歷史以及個人信息。

Check Point的產品漏洞研究負責人Oded Vanunu在一份新聞稿中說道:「智能揚聲器和虛擬助手如此普遍,以至於人們很容易忽視它們所擁有的個人數據以及它們在控制我們家中其他智能設備方面所起的作用。但駭客將其視為進入人們生活的入口,讓他們有機會在所有者不知情的情況下訪問數據、竊聽對話或進行其他惡意行為。」

Vanunu補充稱,該研究公司在6月份就向亞馬遜強調過這一缺陷,後者也做出了修復回應。「我們開展這項研究是為了強調保護這些設備對維護用戶隱私是怎樣得重要。謝天謝地,亞馬遜對我們的泄露做出了迅速反應,他們關閉了某些亞馬遜/Alexa子域名上的這些漏洞。」

LINE it!
回頁頂