安全研究人員發(fā)現了亞馬遜的Alexa語(yǔ)音平臺中的一個(gè)漏洞。被利用時(shí)，Check Point Research表示，該漏洞可能使攻擊者能夠訪(fǎng)問(wèn)用戶(hù)的個(gè)人信息。其中包括用戶(hù)的Amazon帳戶(hù)詳細信息以及語(yǔ)音記錄。

研究人員在使用Alexa智能手機應用程序進(jìn)行測試時(shí)發(fā)現了該漏洞。他們使用腳本繞過(guò)了為保護應用程序流量而實(shí)現的機制，從而使他們能夠以明文形式查看它。他們發(fā)現，該應用程序發(fā)出的多個(gè)請求的策略配置錯誤，可能會(huì )被繞開(kāi)以從惡意方控制的域發(fā)送請求。

在現實(shí)世界中，不良行為者本可以說(shuō)服一個(gè)毫無(wú)戒心的用戶(hù)單擊指向實(shí)際上具有代碼注入功能的亞馬遜惡意鏈接。一旦單擊，攻擊者就可以掌握Alexa上用戶(hù)安裝的應用程序和技能的列表。他們還將能夠為受害者遠程安裝并啟用新技能。更為嚴重的攻擊者還可以從其Alexa帳戶(hù)中掌握用戶(hù)的語(yǔ)音記錄以及個(gè)人信息。

Check Point產(chǎn)品漏洞研究主管Oded Vanunu在新聞稿中說(shuō)：

智能揚聲器和虛擬助手非常普遍，因此很容易忽略它們擁有多少個(gè)人數據，以及它們在控制家庭其他智能設備中的作用。但是黑客將它們視為人們生活的切入點(diǎn)，使他們有機會(huì )在所有者不知情的情況下訪(fǎng)問(wèn)數據，竊聽(tīng)對話(huà)或進(jìn)行其他惡意行為。

Vanunu補充說(shuō)，這家研究公司早在6月份就強調了亞馬遜的漏洞，并通過(guò)修復此漏洞做出了回應。“我們進(jìn)行了這項研究，以強調保護這些設備對于維護用戶(hù)隱私至關(guān)重要。值得慶幸的是，亞馬遜迅速對我們的披露做出了回應，以關(guān)閉某些亞馬遜/ Alexa子域上的這些漏洞，”他說(shuō)。