Alexa漏洞可能会将您的语音记录暴露给黑客

2020-08-15 19:43:20

智能助手设备在隐私方面也有失误,但对大多数人来说,它们通常被认为是足够安全的。不过,对亚马逊Alexa平台漏洞的最新研究突显了思考智能助手存储的有关你的个人数据的重要性,并尽可能地将其降至最低。

安全公司Check Point周四发布的调查结果显示,Alexa的网络服务存在漏洞,黑客可以利用这些漏洞窃取目标的整个语音记录,这意味着他们与Alexa的录音互动。亚马逊已经修补了这些漏洞,但该漏洞也可能会产生个人资料信息,包括家庭地址,以及用户为Alexa添加的所有技能或应用程序。攻击者甚至可以删除现有技能并安装恶意技能,以便在初始攻击后获取更多数据。

Check Point产品漏洞研究主管奥德·瓦努努(Oded Vanunu)表示:虚拟助手是一种你只需要交谈和回答的东西,通常你的脑海中不会有某种恶意场景或担忧。但我们在Alexa的基础设施配置中发现了一系列漏洞,最终允许恶意攻击者收集用户信息,甚至安装新技能。

对于攻击者来说,要利用这些漏洞,她首先需要欺骗目标单击恶意链接,这是一种常见的攻击场景。然而,某些亚马逊和Alexa子域名的潜在缺陷意味着,攻击者可以精心制作一个真正的、看起来正常的亚马逊链接,引诱受害者进入亚马逊基础设施的暴露部分。通过策略性地将用户定向到track.amazon.com-这是一个易受攻击的页面,与alexa无关,但用于跟踪亚马逊包裹-攻击者可能已经注入代码,允许他们转向alexa基础设施,将一个特殊请求连同目标的cookie从包裹跟踪页面发送到skillsstore.amazon.com/app/secure/your-skills-page.。

在这一点上,平台会将攻击者误认为合法用户,然后黑客就可以访问受害者的完整音频历史记录、已安装技能列表和其他帐户详细信息。攻击者还可以卸载用户设置的技能,如果黑客在Alexa技能商店中植入了恶意技能,甚至可以在受害者的Alexa帐户上安装该入侵应用程序。

Check Point和亚马逊都指出,亚马逊商店中的所有技能都经过筛选和监控,以确定是否存在潜在的有害行为,因此,攻击者可能从一开始就在那里植入了恶意技能,这并不是必然的结论。Check Point还暗示,黑客可能能够通过这次攻击获取银行数据历史记录,但亚马逊对此表示异议,称Alexa的回复中对信息进行了编辑。

亚马逊发言人在一份声明中告诉“连线”杂志:“我们设备的安全是重中之重,我们感谢像Check Point这样的独立研究人员的工作,他们给我们带来了潜在的问题。”这个问题引起我们的注意后不久,我们就修复了它,并继续进一步加强我们的系统。我们不知道有任何这种漏洞被用来对付我们的客户的情况,也没有任何客户信息被泄露的情况。";

Check Point的瓦努努表示,他和他的同事们发现的攻击是细微差别的,考虑到亚马逊的平台规模,没有自己捕捉到也就不足为奇了。但这些发现为用户提供了一个有价值的提醒,让他们考虑一下他们存储在各种网络账户中的数据,并尽可能地将其降至最低。

瓦努努说:这绝对不是一扇门开着,好吧,进来吧!";瓦努努说,这绝对不是一件敞开的门,好的,请进!";瓦努努说。这是一次狡猾的攻击,但我们很高兴亚马逊认真对待了它,因为对于2亿台Alexa设备来说,后果可能会很糟糕。

虽然您无法控制亚马逊的某个远程Web服务是否存在漏洞,但您可以将Alexa帐户上的数据降至最低。在对一些Alexa用户使用人工转录器的模糊做法产生反响之后,亚马逊让删除你的音频历史变得更容易了。定期这样做很重要,否则亚马逊将无限期地存储这些录音。

要查看和删除您的Alexa历史记录,请打开手机上的Alexa应用程序,然后转至设置&>历史记录。在此视图中,您只能逐个删除条目。要集体删除,请转到亚马逊网站上的Alexa隐私设置,然后选择查看语音历史记录。你也可以口头删除,说:“Alexa,删除我刚才说的内容,或者Alexa,删除我今天说的所有内容。”