研究者はAlexaスキルエコシステムの脆弱性について警告します

Amazon Alexaのユーザーは、音声アシスタントのスキル審査プロセスにおける新しい脆弱性に注意する必要があります.

Alexaスキルエコシステムの脆弱性

抜け穴により、脅威アクターは任意の開発者名で欺瞞的なスキルを公開する可能性があります. 承認後にバックエンドコードに変更を加えて、ユーザーをだまして機密情報を明らかにすることもできます。.

研究は、ルール大学ボーフムとノースカロライナ州立大学の学者のグループによって実施されました。. 彼らの仕事中に, 研究者は分析した 90,194 7カ国で利用可能なスキル, 米国など, イギリス, オーストラリア, カナダ, ドイツ, 日本, とフランス. 彼らの調査結果は、ネットワークおよび分散システムセキュリティシンポジウムで発表されました。 (NDSS) 会議.

「Amazonの音声ベースのアシスタント, Alexa, ユーザーが自然言語の対話を通じてさまざまなWebサービスと直接対話できるようにします. 開発者にサードパーティアプリケーションを作成するオプションを提供します (スキルとして知られています) 上で実行する Alexa. このようなアプリケーションは、ユーザーのスマートデバイスとの対話を容易にし、多くの追加サービスを強化します。, 彼らはまた、彼らが活動している個人的な設定のためにセキュリティとプライバシーの懸念を引き起こします,」研究論文は説明します.

Alexaが広く採用され、悪意のある攻撃者がスキルを悪用する可能性があることを考えると, このホワイトペーパーの目的は、Alexaスキルエコシステムの体系的な分析を実行し、悪意のある攻撃者によって悪用される可能性のある潜在的な抜け穴を特定することです。.

チームは主に、ユーザーが間違ったスキルをアクティブ化できるという事実を懸念しています, 悪意のある結果につながる可能性があります, 上記のスキルがそのような目的で設計された場合. さらに, 複数のスキルが同じ呼び出しフレーズを利用できます. 分析により明らかになった 9,948 同じ呼び出しを少なくとも1つの他のスキルと共有したスキル. それだけ 36,055 スキルは一意の呼び出し名を使用しました, レポートによると.

同じ名前の複数のスキルの中から特定のスキルを自動有効化するというAmazonの基準は不明であるため, 間違ったスキルをアクティブにする可能性があります. さらに何, 脅威アクターは、有名な企業の名前を使用してスキルを公開できます.

このギャップはフィッシング攻撃につながる可能性があります, 研究者がそれを説明するように:

これは主に、Amazonがサードパーティの商標を使用するための侵害を検出するための自動化されたアプローチを採用していないために発生します, ヒューマンエラーが発生しやすい悪意のある試みをキャッチするには、手動による検証に依存します. その結果、ユーザーは攻撃者によって開始されたフィッシング攻撃にさらされる可能性があります.

この脅威は、バージョニングと呼ばれる手法に似ています, 検証保護をバイパスするために利用. バージョン管理とは、正規のアプリをアプリストアに送信することを意味します, その後、アップデートを通じて徐々に悪意のある機能に置き換えます.

研究の完全な技術的開示に興味がある場合, あなたは全体を読むことができます Alexaスキルエコシステムレポート.

アマゾンのスキルがサイバー攻撃で悪用されたのは初めてではありません

去年, Alexaは正常にハッキングされました. チェックポイントのセキュリティ研究者は、特定のAmazon/Alexaサブドメインがクロスオリジンリソースシェアリングに対して脆弱であることを発見しました (CORS) 設定ミスとクロスサイトスクリプティング (XSS). 攻撃がAlexaに追加されたスキルを改ざんする可能性があることは注目に値します.

脆弱性が許した可能性があります 攻撃者がターゲットのAlexaアカウントのスキルを削除またはインストールする, ユーザーがインストールされたスキルを呼び出すときに、音声履歴にアクセスし、スキルの相互作用を通じて個人情報を取得します.