亚马逊Alexa中发现的安全错误已修复

来自网络安全公司Check Point Software Technologies的研究人员周四表示，他们最近在一些亚马逊Alexa子域中发现了安全漏洞，这些漏洞可能使黑客能够删除或在目标受害者Alexa帐户上安装技能，并访问他们的语音历史记录和个人数据。

攻击需要用户点击黑客制作的恶意链接，受害者有语音交互。

该公司的威胁情报部门Check Point Research表示，亚马逊在收到报告后立即解决了问题。

Check Point产品漏洞研究主管Oded Vanunu表示：“智能音箱和虚拟助手非常常见，因此很容易忽略它们拥有的个人数据量，以及它们在控制家中其他智能设备方面的作用。声明。

“但黑客将它们视为人们生活的切入点，让它们有机会在主人不知情的情况下访问数据、窃听对话或从事其他恶意行为。”

Alexa在全球销售超过2亿件产品，可以在家庭自动化系统中执行语音交互、设置警报、播放音乐和控制智能设备。

用户可以通过安装“技能”来扩展Alexa的功能。这是一个语音驱动的应用程序

然而，存储在用户Alexa帐户中的个人信息以及将该设备用作家庭自动化控制器使其成为黑客的诱人目标。

Check Point的研究人员演示了如何利用他们在一些Amazon/Alexa子域中发现的漏洞，方法是黑客精心制作并向目标用户发送恶意链接(似乎来自Amazon)。

如果用户点击链接，攻击者可以访问受害者的个人信息，如银行数据历史记录、用户名、电话号码和家庭地址。

瓦努努说：“我们进行这项研究是为了强调保护这些设备以维护用户隐私的关键。幸运的是，亚马逊很快回应了我们的披露，关闭了一些亚马逊/Alexa子域中的这些漏洞。”

“我们希望类似设备的厂商能够以亚马逊为榜样，检查自己的产品是否存在可能危及用户隐私的漏洞。”

标签：