据外媒neowin报道,安全研究人员在亚马逊的Alexa语音平台上发现了一个漏洞。Check Point Research表示,当漏洞被利用时,攻击者可能会获得用户的个人信息,这些信息包括用户的亚马逊账号信息以及语音历史。
研究人员在对Alexa智能手机应用进行测试时发现了这个漏洞。他们使用一个脚本绕过了保护应用流量的机制,该机制则允许他们以明文查看该应用。他们还发现,该应用发出的几个请求存在策略配置错误情况,这可能会使其绕过该策略从而从恶意方控制的域发送请求。
在现实世界中,坏人可能会说服不知情的用户点击一个连接到Amazon的恶意链接,该链接实际上具有代码注入功能。一旦被点击,攻击者就能获得用户在Alexa上安装的应用和功能列表。另外,他们还可以远程为受害者安装和启用新技能。更严重的攻击者还可以从用户的Alexa账号中获取他们的语音历史以及个人信息。
Check Point的产品漏洞研究负责人Oded Vanunu在一份新闻稿中说道:“智能扬声器和虚拟助手如此普遍,以至于人们很容易忽视它们所拥有的个人数据以及它们在控制我们家中其他智能设备方面所起的作用。但黑客将其视为进入人们生活的入口,让他们有机会在所有者不知情的情况下访问数据、窃听对话或进行其他恶意行为。”
Vanunu补充称,该研究公司在6月份就向亚马逊强调过这一缺陷,后者也做出了修复回应。“我们开展这项研究是为了强调保护这些设备对维护用户隐私是怎样得重要。谢天谢地,亚马逊对我们的泄露做出了迅速反应,他们关闭了某些亚马逊/Alexa子域名上的这些漏洞。”
(稿件来源:cnBeta)