安全研究人員在亞馬遜的Alexa語(yǔ)音平臺(tái)上發(fā)現(xiàn)了一個(gè)bug。當(dāng)被利用時(shí)，檢查點(diǎn)研究表明該漏洞可能使攻擊者能夠訪問(wèn)用戶(hù)的個(gè)人信息。包括亞馬遜賬號(hào)詳情和用戶(hù)語(yǔ)音記錄。

研究人員在用Alexa智能手機(jī)應(yīng)用程序進(jìn)行測(cè)試時(shí)發(fā)現(xiàn)了這個(gè)漏洞。他們使用腳本繞過(guò)為保護(hù)應(yīng)用程序流量而實(shí)現(xiàn)的機(jī)制，這樣他們就可以以明文形式查看流量。他們發(fā)現(xiàn)應(yīng)用程序發(fā)送的多個(gè)請(qǐng)求的策略配置錯(cuò)誤，可能會(huì)被繞過(guò)，從惡意方控制的域發(fā)送請(qǐng)求。

在現(xiàn)實(shí)世界中，壞人本可以說(shuō)服一個(gè)毫無(wú)戒心的用戶(hù)點(diǎn)擊一個(gè)指向亞馬遜的惡意鏈接，而亞馬遜實(shí)際上具有代碼注入功能。一旦點(diǎn)擊，攻擊者就可以掌握用戶(hù)在Alexa上安裝的應(yīng)用程序和技能列表。他們還能夠遠(yuǎn)程安裝和啟用受害者的新技能。更嚴(yán)重的攻擊者還可以從用戶(hù)的Alexa帳戶(hù)中掌握用戶(hù)的語(yǔ)音記錄和個(gè)人信息。

Check Point產(chǎn)品漏洞研究主管奧德瓦努努在一份新聞稿中表示：

智能音箱和虛擬助手非常常見(jiàn)，因此很容易忽略它們擁有多少個(gè)人數(shù)據(jù)，以及它們?cè)诳刂萍抑衅渌悄茉O(shè)備方面的作用。但黑客把它們當(dāng)成了人們生活的切入點(diǎn)，讓它們有機(jī)會(huì)在主人不知情的情況下訪問(wèn)數(shù)據(jù)、竊聽(tīng)對(duì)話(huà)或?qū)嵤┢渌麗阂庑袨椤?

瓦努努補(bǔ)充說(shuō)，該研究公司早在6月份就強(qiáng)調(diào)了亞馬遜的漏洞，并通過(guò)修復(fù)來(lái)應(yīng)對(duì)?！拔覀冞M(jìn)行這項(xiàng)研究是為了強(qiáng)調(diào)保護(hù)這些設(shè)備對(duì)于維護(hù)用戶(hù)隱私至關(guān)重要。幸運(yùn)的是，亞馬遜迅速回應(yīng)了我們的披露，關(guān)閉了一些亞馬遜/Alexa子域中的這些漏洞，”他說(shuō)。

鄭重聲明：本文版權(quán)歸原作者所有。轉(zhuǎn)載文章只是為了傳播更多的信息。如果作者信息標(biāo)注有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除。謝謝你。

標(biāo)簽:漏洞Alexa Amazon。

　　免責(zé)聲明：本文由用戶(hù)上傳，與本網(wǎng)站立場(chǎng)無(wú)關(guān)。財(cái)經(jīng)信息僅供讀者參考，并不構(gòu)成投資建議。投資者據(jù)此操作，風(fēng)險(xiǎn)自擔(dān)。 如有侵權(quán)請(qǐng)聯(lián)系刪除！