Die Benutzer von Amazon Alexa sollten sich einer neuen Sicherheitslücke im Überprüfungsprozess für Sprachassistenten bewusst sein.
Sicherheitslücken im Alexa Skill Ecosystem
Die Lücken könnten es Bedrohungsakteuren ermöglichen, eine irreführende Fähigkeit unter einem beliebigen Entwicklernamen zu veröffentlichen. Sie könnten sogar Änderungen im Backend-Code nach der Genehmigung anwenden, um Benutzer dazu zu bringen, vertrauliche Details preiszugeben.
Die Forschung wurde von einer Gruppe von Wissenschaftlern der Ruhr-Universität Bochum und der North Carolina State University durchgeführt. Während ihrer Arbeit, Die Forscher analysierten 90,194 Fähigkeiten in sieben Ländern verfügbar, wie die USA, Großbritannien, Australien, Kanada, Deutschland, Japan, und Frankreich. Ihre Ergebnisse wurden während des Network and Distributed System Security Symposium vorgestellt (NDSS) Konferenz.
"Der sprachbasierte Assistent von Amazon, Alexa, ermöglicht Benutzern die direkte Interaktion mit verschiedenen Webdiensten über Dialoge in natürlicher Sprache. Es bietet Entwicklern die Möglichkeit, Anwendungen von Drittanbietern zu erstellen (bekannt als Fähigkeiten) laufen auf Alexa. Während solche Anwendungen die Interaktion der Benutzer mit intelligenten Geräten erleichtern und eine Reihe zusätzlicher Dienste unterstützen, Sie werfen auch Sicherheits- und Datenschutzbedenken aufgrund der persönlichen Umgebung auf, in der sie tätig sind,”Erklärt das Forschungspapier.
Angesichts der weit verbreiteten Akzeptanz von Alexa und des Potenzials böswilliger Akteure, Fähigkeiten zu missbrauchen, Das Ziel dieses Papiers ist es, eine systematische Analyse des Alexa-Skill-Ökosystems durchzuführen und potenzielle Lücken zu identifizieren, die von böswilligen Akteuren ausgenutzt werden können.
Das Team ist hauptsächlich besorgt darüber, dass Benutzer eine falsche Fähigkeit aktivieren können, was zu böswilligen Ergebnissen führen könnte, wenn die besagte Fähigkeit für solche Zwecke entwickelt wurde. Weiter, Mehrere Fertigkeiten können dieselbe Aufrufphrase verwenden. Die Analyse wurde aufgedeckt 9,948 Fertigkeiten, die dieselbe Anrufung mit mindestens einer anderen Fertigkeit geteilt haben. Nur 36,055 Fertigkeiten verwendeten einen eindeutigen Aufrufnamen, Der Bericht sagt.
Da die Kriterien von Amazon zum automatischen Aktivieren einer bestimmten Fähigkeit unter mehreren Fähigkeiten mit demselben Namen nicht bekannt sind, Das Aktivieren der falschen Fähigkeiten ist möglich. Was ist mehr, Bedrohungsakteure könnten Fähigkeiten unter Verwendung der Namen bekannter Unternehmen veröffentlichen.
Diese Lücke könnte zu Phishing-Angriffen führen, wie die Forscher es erklären:
Dies geschieht hauptsächlich, weil Amazon derzeit keinen automatisierten Ansatz verwendet, um Verstöße bei der Verwendung von Marken Dritter zu erkennen, und hängt von der manuellen Überprüfung ab, um solche böswilligen Versuche zu fangen, die für menschliches Versagen anfällig sind. Infolgedessen können Benutzer Phishing-Angriffen ausgesetzt sein, die von einem Angreifer gestartet werden.
Diese Bedrohung ähnelt einer als Versionierung bekannten Technik, wird verwendet, um den Überprüfungsschutz zu umgehen. Versionierung bedeutet, eine legitime App an einen App Store zu senden, und dann schrittweise durch böswillige Funktionen durch Updates zu ersetzen.
Wenn Sie an der vollständigen technischen Offenlegung der Forschung interessiert sind, Sie können das ganze lesen Alexa Skill Ecosystem Bericht.
Nicht das erste Mal, dass Amazon-Fähigkeiten bei Cyberangriffen missbraucht wurden
Letztes Jahr, Alexa wurde erfolgreich gehackt. Sicherheitsforscher am Checkpoint stellten fest, dass bestimmte Amazon / Alexa-Subdomänen für die gemeinsame Nutzung von Ressourcen zwischen verschiedenen Ursprüngen anfällig sind (HEARTS) Fehlkonfiguration und Cross Site Scripting (XSS). Es ist bemerkenswert, dass die Angriffe auch die Fähigkeiten von Alexa beeinträchtigen könnten.
Die Schwachstellen hätten zulassen können ein Angreifer, der Fähigkeiten auf dem Alexa-Zielkonto entfernt oder installiert, Greifen Sie auf ihren Sprachverlauf zu und erhalten Sie persönliche Informationen durch Skill-Interaktion, wenn der Benutzer die installierte Skill aufruft.