研究人員展示了黑客如何刪除／安裝受害者 Alexa 帳戶上的 skill（內(nèi)置功能）、訪問語音歷史記錄和個人信息

近日，全球領(lǐng)先網(wǎng)絡(luò)安全解決方案提供商 CheckPoint軟件技術(shù)有限公司（納斯達克股票代碼：CHKP）的威脅情報部門 Check Point Research 近日在 Amazon／Alexa 特定子域中發(fā)現(xiàn)了安全漏洞，黑客可利用這些漏洞刪除／安裝目標受害者 Alexa 帳戶上的 skill，并訪問其語音歷史記錄和個人數(shù)據(jù)。用戶點擊一下黑客特制的惡意鏈接并進行語音交互，便會遭到入侵。

Alexa 能夠進行語音交互、設(shè)置警報、播放音樂并控制家庭自動化系統(tǒng)中的智能設(shè)備，全球銷量超過 2 億臺。用戶可以通過安裝語音驅(qū)動應(yīng)用 skill 來擴展 Alexa 的功能。但用戶 Alexa 帳戶中存儲的大量個人信息及其家庭自動化控制作用使其成為黑客的誘人目標。

Check Point 研究人員展示了黑客如何利用他們在 Amazon／Alexa 特定子域中發(fā)現(xiàn)的漏洞，通過向目標用戶發(fā)送偽造的來自 Amazon 的惡意鏈接來發(fā)起攻擊。如果用戶點擊鏈接，攻擊者就可以：

訪問受害者的個人信息，例如銀行數(shù)據(jù)歷史數(shù)據(jù)、用戶名、電話號碼和家庭住址

使用 Alexa 提取受害者的語音歷史記錄

在用戶的 Alexa 帳戶上靜默安裝 skill（內(nèi)置功能）

查看 Alexa 用戶帳戶的整個 skill 列表

靜默刪除已安裝的 skill

Check Point 產(chǎn)品漏洞研究主管 Oded Vanunu 表示：“智能揚聲器和虛擬助手的應(yīng)用非常普遍，我們很容易忽視它們所擁有的個人數(shù)據(jù)，以及它們在控制其他家庭智能設(shè)備方面的作用。這給了黑客可乘之機，讓他們有機會在用戶不知情的情況下訪問數(shù)據(jù)、竊聽對話或執(zhí)行其他惡意操作。我們開展這項研究是為了強調(diào)這些設(shè)備的安全性對于保護用戶隱私有多么重要。慶幸的是，Amazon 對我們的披露迅速做出了響應(yīng)，修復(fù)了 Amazon／Alexa 特定子域上的漏洞。我們希望類似設(shè)備制造商能夠以此為鑒，檢查其產(chǎn)品中是否存在可能危及用戶隱私的漏洞。我們之前還對 Tiktok、WhatsApp 和 Fortnite 進行了研究�？紤]到 Alexa 的普遍性及其與物聯(lián)網(wǎng)設(shè)備的關(guān)聯(lián)，我們關(guān)注了它很久。往往是那些越受歡迎的數(shù)字平臺對我們造成的損失越大。因此，保障它們的安全性至關(guān)重要�！�

Amazon 在收到報告后及時修復(fù)了此問題。

關(guān)于 Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報。Check Point 研究團隊負責(zé)收集和分析 ThreatCloud 存儲的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機關(guān)及各個計算機安全應(yīng)急響應(yīng)組展開合作。

關(guān)于 Check Point 軟件技術(shù)有限公司

Check Point 軟件技術(shù)有限公司是一家面向全球企業(yè)用戶業(yè)內(nèi)領(lǐng)先的信息安全解決方案提供商。Check Point 解決方案對惡意軟件、勒索軟件和高級目標威脅的防范率處于業(yè)界領(lǐng)先水準，可有效保護客戶免受第五代網(wǎng)絡(luò)攻擊。Check Point 為業(yè)界提供前瞻性多級安全架構(gòu) Infinity Total Protection，這一組合產(chǎn)品架構(gòu)具備第五代高級威脅防御能力，可全面保護企業(yè)的云、網(wǎng)絡(luò)，移動，工業(yè)互聯(lián)網(wǎng)和IOT系統(tǒng)。