Check Point安全研究人员发现语音助理Amazon Alexa存在漏洞,可让恶意人士操纵Alexa中的技能,或是访问用户个人资料。安全研究人员提到,这个漏洞与Alexa网页服务的几个子域名有关,这些域名容易受到跨站脚本攻击或是跨域请求攻击。
这个攻击从黑客发送恶意连接给被害者开始,当被害者点击了恶意连接,便会被重定向track.amazon.com,黑客通过程序代码注入更改参数,使得服务器端产生错误,接着黑客便可以发送带有用户Cookie的Ajax请求到amazon.com/app/secure/your-skills-page页面中,获取Alexa账户上所有已安装技能以及CSRF令牌。
一旦黑客获得CSRF令牌,便能利用该令牌,从收到的列表中删除一项用户常用技能,并且安装一项恶意技能,当用户以短语要调用遭删除的技能时,便会触发黑客安装的技能,并且执行恶意行为。
也就是说,受害者只要点击了黑客的恶意连接,就可能被入侵。黑客除了可以取得受害者账户中的技能列表,并删除用户常用技能外,甚至还能安装恶意技能,取得受害者的语音记录,研究人员提到,攻击者可以查看语音命令历史记录,以及Alexa的回应,而这些信息可能使用户的银行资料历史记录等用户个人资料泄露。
虽然Amazon不会记录用户的银行登录凭证,但是会记录交互历程,而且由于黑客还能够访问聊天对话记录,因此能够访问受害者与银行技能交互的历程,并取得用户账号以及电话,甚至可能还有家里住址和更多其他信息,这些信息泄露的多寡,取决于Alexa账户安装的技能。
目前Amazon已经修复了这项漏洞,研究人员提到,因为物联网设备缺乏足够安全性较为脆弱,因此虚拟助理也成了攻击者经常下手的目标,这个漏洞研究,显示出物联网桥接设备的弱点,容易成为黑客攻击的进入点。