亚马逊(Amazon)的Alexa发现了一系列漏洞,突显出苹果(Apple)HomeKit等智能家居平台提供商有必要将安全作为服务的一部分来维护。
智能家居的概念很有吸引力,但一旦安全问题浮出水面,订购虚拟助手来自动化家务的梦想就变成了噩梦。以亚马逊的Alexa为例,它是许多人智能家居设置的核心,已经发现了一些漏洞,这些漏洞可能会让攻击者执行任务,并了解用户告诉Alexa的是什么。
Check Point Security研究人员的这份报告显示,亚马逊和Alexa的许多子域都容易受到跨域资源共享(CORS)错误配置和跨站点脚本(XSS)的攻击。通过使用XSS,攻击者将能够获取CSRF令牌,该令牌将为攻击者提供对智能家居安装元素的访问权限。
根据研究人员的说法,这些可能包括在用户不知情的情况下自动安装Alexa技能,获取所有已安装技能的列表,静默删除已安装的技能,获取受害者与Alexa的语音记录,甚至获取个人信息。
该技能操纵可以允许现有技能的修改版本被安装,然后由用户使用,该修改版本可以允许攻击者执行动作,或者允许进一步从用户获取数据。攻击者甚至有可能安装窃听Echo设备附近对话的技能。
据称,受害者只需点击一次亚马逊链接,就可以成功利用这些漏洞。
Check Point在2020年6月向亚马逊负责任地披露了这些漏洞,这些问题已经得到修复。
Check Point写道,物联网设备天生就很脆弱,而且仍然缺乏足够的安全性,这使得它们成为威胁行为者的诱人目标。网络犯罪分子不断地寻找新的方法来入侵设备,或利用它们感染其他关键系统。这项研究指出了通向这类物联网设备的桥梁的薄弱环节。桥接器和设备都充当入口点。它们必须始终保持安全,以防止黑客渗透到我们的智能家居中。
亚马逊过去曾因其智能家居平台的安全和隐私问题而招致争议。2019年,人们发现亚马逊的员工正在收听Echo设备的录音,以提高其准确性,而同年晚些时候,研究人员能够在Alexa和Google Home的应用商店中添加间谍应用,从而实现窃听和网络钓鱼。
虽然苹果确实运营着自己的HomeKit智能家居平台,但该公司确实致力于尽可能确保每个元素的安全。这包括加密的广泛使用,以及每个新的HomeKit兼容设备在该平台上运行必须遵守的一长串要求和限制。
AppleInsider与会员有合作关系,通过会员链接购买的产品可能会赚取佣金。这些合作关系不会影响我们的编辑内容。