研究人员说,现在修补的Alexa漏洞可能被利用来交出用户的个人数据、语音记录、银行数据历史记录等

2020-08-13 21:04:32

由于亚马逊(Amazon)的Alexa语音助手的子域存在安全漏洞,可能会被利用来交出用户数据。

这款智能助手可以在亚马逊回声(Amazon Echo)和回声点(Echo Dot)等设备上找到,全球出货量超过2亿台,很容易受到寻求用户个人身份信息(PII)和语音录音的攻击者的攻击。

Check Point Research周四表示,安全问题是由Amazon Alexa子域造成的,这些子域容易受到跨域资源共享(CORS)错误配置和跨站点脚本(XSS)攻击。

当Check Point第一次开始检查Alexa移动应用程序时,该公司注意到存在一个阻止流量检查的SSL机制。但是,使用Frida SSL通用解锁脚本可以绕过使用的脚本。

这导致发现该应用程序对CORS策略的错误配置,该策略允许从Amazon子域发送AJAX请求。

如果发现子域容易受到代码注入的攻击,就可能发起XSS攻击,这是通过track.amazon.com和skillsstore.amazon.com执行的。

根据Check Point的说法,受害者只需点击恶意链接就可以利用这些漏洞。例如,通过网络钓鱼被路由到域的受害者可能会受到代码注入和与亚马逊相关的cookie的窃取。

然后,攻击者使用这些cookie向Amazon技能商店发送Ajax请求,该请求将发送回受害者的Amazon Alexa帐户中安装的所有技能的列表。

通过发起XSS攻击,研究人员还能够获得CSRF令牌,因此可以伪装成受害者执行操作。该团队表示,这可能包括删除或安装Alexa技能,然后使用CSRF令牌删除一项技能,然后安装一个具有相同召唤短语的新技能,这可能会触发攻击者的技能。

如果受害者无意中触发了这项新技能,攻击者可能会访问语音历史记录,并通过滥用技能交互来获取个人信息。

在测试中,Check Point发现电话号码、家庭地址、用户名和银行数据历史从理论上讲可能会被窃取。

该团队表示,亚马逊不会记录您的银行登录凭据,但会记录您的互动记录,由于我们可以访问聊天历史记录,因此我们可以访问受害者与银行技能的互动,并获取他们的数据历史记录。我们还可以获取用户名和电话号码,这取决于用户的Alexa帐户上安装的技能。

技能滥用是一种有趣的攻击形式,也是网络攻击者进入我们家的一种潜在方式--尽管在恶意技能被发现和删除之前的时间窗口可能很短。

研究人员说,重要的是要注意,亚马逊会进行安全审查,作为技能认证的一部分,并持续监控现场技能是否存在潜在的恶意行为。";确认的任何违规技能将在认证期间被阻止或迅速停用。";

Check Point研究人员在6月份私下向亚马逊披露了他们的发现,现在安全问题已经得到修补。

Check Point产品漏洞研究部主管Oed Vanunu评论说,我们进行这项研究是为了强调保护这些设备的安全对于维护用户隐私是多么关键。值得庆幸的是,亚马逊对我们的披露做出了快速反应,关闭了某些亚马逊/Alexa子域名上的这些漏洞。我们希望类似设备的制造商能效仿亚马逊的做法,检查他们的产品是否存在可能危及用户隐私的漏洞。

亚马逊的一位发言人告诉ZDNet,我们设备的安全是重中之重,我们感谢Check Point这样的独立研究人员的工作,他们给我们带来了潜在的问题。这个问题引起我们的注意后不久,我们就修复了它,并继续进一步加强我们的系统。我们不知道有任何这种漏洞被用来对付我们的客户的情况,也没有任何客户信息被泄露的情况。";

有小费吗?通过WhatsApp|Signal+447713 025499或通过KeyBase:charlie0安全联系