亚马逊Alexa中发现的安全错误现已修复

安全公司CheckPointSoftwareTechnologies的研究人员周四表示，他们最近在亚马逊Alexa的某些子域中发现了安全漏洞，这些漏洞可能允许黑客在目标受害者的Alexa帐户上删除或安装技能，并访问他们的语音记录和个人数据。

攻击需要用户点击黑客制作的恶意链接，受害者有语音交互。
该公司威胁情报部门CheckPointResearch表示，亚马逊在接到报告后立即解决了问题。
CheckPoint产品漏洞研究主管奥德瓦努努(OdedVanunu)表示：“智能音箱和虚拟助手非常普遍，因此很容易忽视它们拥有的个人数据量以及它们在控制家中其他智能设备方面的作用。声明。
【亚马逊Alexa中发现的安全错误现已修复】“但黑客将它们视为人们生活的切入点，让他们有机会在主人不知情的情况下访问数据、窃听对话或从事其他恶意行为。”
Alexa在全球销售超过2亿件产品，可以在家庭自动化系统中进行语音交互、设置闹钟、播放音乐和控制智能设备。
用户可以通过安装“技能”来扩展Alexa的功能。这是一个语音驱动的应用程序。
然而，用户Alexa帐户中存储的个人信息以及该设备作为家庭自动化控制器的用途，使他们成为黑客的诱人目标。
CheckPoint的研究人员展示了黑客如何利用他们在一些亚马逊/Alexa子域名中发现的漏洞，制作并向目标用户发送恶意链接(似乎来自亚马逊) 。
如果用户点击链接，攻击者可以访问受害者的个人信息，如银行数据历史记录、用户名、电话号码和家庭住址。
瓦努努说，“我们进行这项研究是为了强调，保护这些设备对于维护用户的隐私至关重要。幸运的是，亚马逊迅速回应了我们的披露，关闭了一些亚马逊/Alexa子域上的这些漏洞。"
“我们希望类似设备的制造商能够效仿亚马逊，检查他们的产品是否存在可能危及用户隐私的漏洞。"

亚马逊Alexa中发现的安全错误现已修复

猜你喜欢