Check Point資安研究人員發現語音助理Amazon Alexa存在漏洞,可讓惡意人士操縱Alexa中的技能,或是存取使用者個人資料。資安研究人員提到,這個漏洞與Alexa網頁服務的幾個子網域有關,這些網域容易受到跨站腳本攻擊或是跨域請求攻擊。

這個攻擊從駭客發送惡意連結給被害者開始,當被害者點擊了惡意連結,便會被重新導向track.amazon.com,駭客透過程式碼注入更改參數,使得伺服器端產生錯誤,接著駭客便可以發送帶有用戶Cookie的Ajax請求到amazon.com/app/secure/your-skills-page頁面中,獲取Alexa帳戶上所有已安裝技能以及CSRF令牌。

一旦駭客獲得CSRF令牌,便能利用該令牌,從收到的列表中刪除一項用戶常用技能,並且安裝一項惡意技能,當用戶以短語要呼叫遭刪除的技能時,便會觸發駭客安裝的技能,並且執行惡意行為。

也就是說,受害者只要點擊了駭客的惡意連結,就可能被入侵。駭客除了可以取得受害者帳戶中的技能列表,並刪除用戶常用技能外,甚至還能安裝惡意技能,取得受害者的語音記錄,研究人員提到,攻擊者可以查看語音命令歷史紀錄,以及Alexa的回應,而這些資訊可能使用戶的銀行資料歷史紀錄等使用者個人資料洩露。

雖然Amazon不會紀錄用戶的銀行登入憑證,但是會紀錄互動歷程,而且由於駭客還能夠存取聊天對話紀錄,因此能夠存取受害者與銀行技能互動的歷程,並取得使用者帳號以及電話,甚至可能還有家裡住址和更多其他資訊,這些資訊洩漏的多寡,取決於Alexa帳戶安裝的技能。

目前Amazon已經修復了這項漏洞,研究人員提到,因為物聯網裝置缺乏足夠安全性較為脆弱,因此虛擬助理也成了攻擊者經常下手的目標,這個漏洞研究,顯示出物聯網橋接裝置的弱點,容易成為駭客攻擊的進入點。

熱門新聞


Advertisement