侵權投訴
訂閱
糾錯
加入自媒體

Check Point Research 發(fā)現 Alexa 特定子域存在漏洞

2020-08-27 15:37
來源: 粵訊

研究人員展示了黑客如何刪除/安裝受害者 Alexa 帳戶上的 skill(內置功能)、訪問語音歷史記錄和個人信息

近日,全球領先網絡安全解決方案提供商 CheckPoint軟件技術有限公司(納斯達克股票代碼:CHKP)的威脅情報部門 Check Point Research 近日在 Amazon/Alexa 特定子域中發(fā)現了安全漏洞,黑客可利用這些漏洞刪除/安裝目標受害者 Alexa 帳戶上的 skill,并訪問其語音歷史記錄和個人數據。用戶點擊一下黑客特制的惡意鏈接并進行語音交互,便會遭到入侵。

Alexa 能夠進行語音交互、設置警報、播放音樂并控制家庭自動化系統(tǒng)中的智能設備,全球銷量超過 2 億臺。用戶可以通過安裝語音驅動應用 skill 來擴展 Alexa 的功能。但用戶 Alexa 帳戶中存儲的大量個人信息及其家庭自動化控制作用使其成為黑客的誘人目標。

Check Point 研究人員展示了黑客如何利用他們在 Amazon/Alexa 特定子域中發(fā)現的漏洞,通過向目標用戶發(fā)送偽造的來自 Amazon 的惡意鏈接來發(fā)起攻擊。如果用戶點擊鏈接,攻擊者就可以:

訪問受害者的個人信息,例如銀行數據歷史數據、用戶名、電話號碼和家庭住址

使用 Alexa 提取受害者的語音歷史記錄

在用戶的 Alexa 帳戶上靜默安裝 skill(內置功能)

查看 Alexa 用戶帳戶的整個 skill 列表

靜默刪除已安裝的 skill

Check Point 產品漏洞研究主管 Oded Vanunu 表示:“智能揚聲器和虛擬助手的應用非常普遍,我們很容易忽視它們所擁有的個人數據,以及它們在控制其他家庭智能設備方面的作用。這給了黑客可乘之機,讓他們有機會在用戶不知情的情況下訪問數據、竊聽對話或執(zhí)行其他惡意操作。我們開展這項研究是為了強調這些設備的安全性對于保護用戶隱私有多么重要。慶幸的是,Amazon 對我們的披露迅速做出了響應,修復了 Amazon/Alexa 特定子域上的漏洞。我們希望類似設備制造商能夠以此為鑒,檢查其產品中是否存在可能危及用戶隱私的漏洞。我們之前還對 Tiktok、WhatsApp 和 Fortnite 進行了研究。考慮到 Alexa 的普遍性及其與物聯網設備的關聯,我們關注了它很久。往往是那些越受歡迎的數字平臺對我們造成的損失越大。因此,保障它們的安全性至關重要。”

Amazon 在收到報告后及時修復了此問題。

關于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網絡攻擊數據,以便在防范黑客的同時,確保所有 Check Point 產品都享有最新保護措施。此外,該團隊由 100 多名分析師和研究人員組成,能夠與其他安全廠商、執(zhí)法機關及各個計算機安全應急響應組展開合作。

關于 Check Point 軟件技術有限公司

Check Point 軟件技術有限公司是一家面向全球企業(yè)用戶業(yè)內領先的信息安全解決方案提供商。Check Point 解決方案對惡意軟件、勒索軟件和高級目標威脅的防范率處于業(yè)界領先水準,可有效保護客戶免受第五代網絡攻擊。Check Point 為業(yè)界提供前瞻性多級安全架構 Infinity Total Protection,這一組合產品架構具備第五代高級威脅防御能力,可全面保護企業(yè)的云、網絡,移動,工業(yè)互聯網和IOT系統(tǒng)。

聲明: 本文系OFweek根據授權轉載自其它媒體或授權刊載,目的在于信息傳遞,并不代表本站贊同其觀點和對其真實性負責,如有新聞稿件和圖片作品的內容、版權以及其它問題的,請聯系我們。

發(fā)表評論

0條評論,0人參與

請輸入評論內容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標題:
*糾錯內容:
聯系郵箱:
*驗 證 碼:

粵公網安備 44030502002758號