导读 亚马逊既出名又臭名昭著,它使用户只需单击一下就可以非常轻松地购买商品,甚至为此使用了 1-Click按钮也是如此。但是,似乎可以毫不费力
亚马逊既出名又臭名昭著,它使用户只需单击一下就可以非常轻松地购买商品,甚至为此使用了“ 1-Click”按钮也是如此。但是,似乎可以毫不费力地折衷亚马逊最受欢迎的产品之一。其AI驱动的私人助理Alexa可以在许多智能扬声器和智能家居产品中找到,而它所要做的只是精心制作的无辜外观链接,黑客可以控制Alexa设备及其所有者的数据。
考虑到智能助手几乎总是与远程服务器通信以发挥其魔力,因此智能助手始终给他们带来大量的隐私和安全风险。即使在设备上执行语音识别,获取信息和控制其他设备之类的事情时,也几乎总是需要通过Internet进行通信。当用户想要安装新的应用或技能时,这一点甚至更多,这是此Alexa漏洞的发源地。
Check Point Research透露,亚马逊与Alexa相关的子域特别容易受到跨域资源共享(CORS)和跨站点脚本(XSS)的攻击。简而言之,这意味着只要Amazon的子域彼此通信以执行某些任务,黑客就能够提取一些重要的信息,例如一些令牌和ID。
研究人员的示例涉及单击精心伪装成Alexa技能安装程序的恶意链接。所要做的就是让不知情的用户单击该链接,远程服务器之间的一系列通信将产生数据,黑客可以使用这些数据将代码注入到Amazon的Alexa技能商店中,以访问用户的帐户。入侵者可以从那里安装或删除Alexa技能,甚至获取受害者的个人信息。
不幸的是,该帖子没有提到亚马逊是否已经采取措施来保护这些弱点。随着智能助手和智能扬声器的普及,至关重要的是,数据处理流程的每一步都应尽可能地安全。