現在, より多い 200 世界中で100万台のAlexa搭載デバイスが使用されています. アマゾンのインテリジェント仮想アシスタントは、ほとんどの市場でトップの地位を占めています.
米国で. 1人, eMarketerの予測分析 2021 を示す 70% すべてのスマートスピーカーの所有者のうち、引き続きAlexaを使用します.
音声対話が可能, 音楽playblack, その他の簡単なタスクを実行する, Alexaのスキルは、サードパーティベンダーによって開発された追加機能で拡張できるようになりました. これらのスキルは、アプリケーションとして認識できます, 天気予報プログラムやオーディオ機能のように.
AmazonのAlexaの脆弱性
不運にも, チェックポイントのセキュリティ研究者は最近、特定のAmazon/Alexaサブドメインがクロスオリジンリソースシェアリングに対して脆弱であることを発見しました (CORS) 設定ミスとクロスサイトスクリプティング (XSS). “XSSを使用して、CSRFトークンを取得し、被害者に代わってアクションを実行することができました,” チームはで言った 彼らの報告. 新たに発見された攻撃は、Alexaに追加されたスキルを改ざんする可能性もあります.
この脆弱性により、攻撃者は標的のスキルを削除またはインストールすることができた可能性があります Alexa アカウント, ユーザーがインストールされたスキルを呼び出すときに、音声履歴にアクセスし、スキルの相互作用を通じて個人情報を取得します, 研究者は言った.
これらの脆弱性により、攻撃は何が可能になりますか?
-スキルをサイレントインストール (アプリ) ユーザーのAlexaアカウントで
-ユーザーのAlexaアカウントにインストールされているすべてのスキルのリストを取得します
-インストールされているスキルをサイレントに削除します
-Alexaで被害者の音声履歴を取得する
-被害者の個人情報を入手する
悪意のある攻撃の蔓延に見られるように, エクスプロイトを開始するために必要なのは、特別に細工されたAmazonリンクをワンクリックするだけです。. 良いニュースは、エクスプロイトがすでに修正されていることです, 6月のチェックポイントのレポートに続いて 2020.
AmazonEchoの安全性?
8月に 2017, MWRラボの研究者はデモンストレーションを行うことができました AmazonEchoデバイスに対する概念実証コード. チームは、潜在的なAmazon Echoマルウェアを使用して、ユーザーをスパイし、悪意のあるアクションを実行する方法を紹介することができました。. これは、公開されたデバッグパッドを介したアクセスを可能にする安全でないハードウェア実装が原因で可能でした. これにより、デバイスを外部ストレージデバイスから起動できるようになります.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: