在現(xiàn)實(shí)世界中，壞人可能會(huì)說(shuō)服不知情的用戶點(diǎn)擊一個(gè)連接到Amazon的惡意鏈接，該鏈接實(shí)際上具有代碼注入功能。一旦被點(diǎn)擊，攻擊者就能獲得用戶在Alexa上安裝的應(yīng)用和功能列表。另外，他們

據(jù)外媒neowin報(bào)道，安全研究人員在亞馬遜的Alexa語(yǔ)音平臺(tái)上發(fā)現(xiàn)了一個(gè)漏洞。Check Point Research表示，當(dāng)漏洞被利用時(shí)，攻擊者可能會(huì)獲得用戶的個(gè)人信息，這些信息包括用戶的亞馬遜賬號(hào)信息以及語(yǔ)音歷史。

研究人員在對(duì)Alexa智能手機(jī)應(yīng)用進(jìn)行測(cè)試時(shí)發(fā)現(xiàn)了這個(gè)漏洞。他們使用一個(gè)腳本繞過(guò)了保護(hù)應(yīng)用流量的機(jī)制，該機(jī)制則允許他們以明文查看該應(yīng)用。他們還發(fā)現(xiàn)，該應(yīng)用發(fā)出的幾個(gè)請(qǐng)求存在策略配置錯(cuò)誤情況，這可能會(huì)使其繞過(guò)該策略從而從惡意方控制的域發(fā)送請(qǐng)求。

在現(xiàn)實(shí)世界中，壞人可能會(huì)說(shuō)服不知情的用戶點(diǎn)擊一個(gè)連接到Amazon的惡意鏈接，該鏈接實(shí)際上具有代碼注入功能。一旦被點(diǎn)擊，攻擊者就能獲得用戶在Alexa上安裝的應(yīng)用和功能列表。另外，他們還可以遠(yuǎn)程為受害者安裝和啟用新技能。更嚴(yán)重的攻擊者還可以從用戶的Alexa賬號(hào)中獲取他們的語(yǔ)音歷史以及個(gè)人信息。

Check Point的產(chǎn)品漏洞研究負(fù)責(zé)人Oded Vanunu在一份新聞稿中說(shuō)道：“智能揚(yáng)聲器和虛擬助手如此普遍，以至于人們很容易忽視它們所擁有的個(gè)人數(shù)據(jù)以及它們?cè)诳刂莆覀兗抑衅渌悄茉O(shè)備方面所起的作用。但黑客將其視為進(jìn)入人們生活的入口，讓他們有機(jī)會(huì)在所有者不知情的情況下訪問(wèn)數(shù)據(jù)、竊聽(tīng)對(duì)話或進(jìn)行其他惡意行為。”

Vanunu補(bǔ)充稱，該研究公司在6月份就向亞馬遜強(qiáng)調(diào)過(guò)這一缺陷，后者也做出了修復(fù)回應(yīng)。“我們開(kāi)展這項(xiàng)研究是為了強(qiáng)調(diào)保護(hù)這些設(shè)備對(duì)維護(hù)用戶隱私是怎樣得重要。謝天謝地，亞馬遜對(duì)我們的泄露做出了迅速反應(yīng)，他們關(guān)閉了某些亞馬遜/Alexa子域名上的這些漏洞。”

關(guān)鍵詞：