Amazon Alexaを使用している場合は、アカウントの保護を検討してください

20160817_chkp_graphic

編集者の概要:Amazon Alexaを使用している場合、チェック・ポイント・ソフトウェアは、特定のAmazon Alexaサブドメインに脆弱性があることを通知しています。 アカウントを確認してください。 通常どおり、連絡先がハッキングされている可能性があるため、既知の連絡先から正当に見える場合でも、送信された悪意のあるリンクをクリックしないでください。 ベンダーのニュースリリースは以下のとおりです。


Alexaを悪用する:Check Point Researchが特定のAmazon Alexaサブドメインに脆弱性を発見

研究者は、ハッカーが被害者のAlexaアカウントのスキルを削除/インストールし、音声履歴と個人情報にアクセスする方法を示します

シンガポール、@ mcgallen#microwire情報、14年2020月XNUMX日 – Check Point Research、脅威インテリジェンス部門 CheckPoint®Software Technologies Ltd. (NASDAQ:CHKP)グローバルなサイバーセキュリティソリューションの大手プロバイダーで、最近、特定のAmazon / Alexaサブドメインにセキュリティの脆弱性が発見されました。この脆弱性により、ハッカーは標的となった被害者のAlexaアカウントのスキルを削除/インストールし、音声履歴と個人データにアクセスできます。 攻撃には、ハッカーが作成した悪意のあるリンクをユーザーがシングルクリックすることと、被害者による音声操作が必要でした。 Alexaは世界で200億台以上の販売実績があり、ホームオートメーションシステムで音声対話、アラートの設定、音楽再生、スマートデバイスの制御を行うことができます。 ユーザーは「スキル」をインストールすることでAlexaの機能を拡張できます。 音声ドリブンアプリです。 ただし、ユーザーのAlexaアカウントに保存されている個人情報と、ホームオートメーションコントローラーとしてのデバイスの使用は、ハッカーにとって魅力的なターゲットになります。

チェック・ポイントの研究者は、特定のAmazon / Alexaサブドメインで見つかった脆弱性が、アマゾンから来たように見える悪意のあるリンクを作成してターゲットユーザーに送信するハッカーによってどのように悪用される可能性があるかを示しました。 ユーザーがリンクをクリックすると、攻撃者は次のことができるようになります。

  • バンキングデータの履歴、ユーザー名、電話番号、自宅の住所など、被害者の個人情報にアクセスする
  • Alexaで被害者の音声履歴を抽出する
  • ユーザーのAlexaアカウントにスキル(アプリ)をサイレントインストールする
  • Alexaユーザーのアカウントのスキルリスト全体を表示する
  • インストールされているスキルをサイレントに削除する

「スマートスピーカーとバーチャルアシスタントは非常に一般的であるため、保持している個人データの量と、家庭内の他のスマートデバイスの制御におけるそれらの役割を見落としがちです。 しかし、ハッカーはそれらを人々の生活への入り口と見なし、所有者が気付かないうちにデータにアクセスしたり、会話を盗聴したり、その他の悪意のある行動をとったりする機会を与えます」と、CheckPointの製品脆弱性調査責任者であるOdedVanunuは述べています。 「この調査を実施して、これらのデバイスを保護することがユーザーのプライバシーを維持するためにいかに重要であるかを明らかにしました。 ありがたいことに、Amazonは、特定のAmazon / Alexaサブドメインのこれらの脆弱性を解消するために、私たちの開示に迅速に対応しました。 同様のデバイスのメーカーがAmazonの例に従い、ユーザーのプライバシーを侵害する可能性のある脆弱性について自社製品をチェックすることを願っています。 以前は、Tiktok、WhatsApp、Fortniteの調査を実施しました。 Alexaは、そのユビキタス性とIoTデバイスへの接続を考えると、しばらくの間私たちを心配してきました。 私たちを最も傷つけることができるのは、これらのメガデジタルプラットフォームです。 したがって、それらのセキュリティレベルは非常に重要です。」

Amazonはこの問題が報告された直後にこの問題を修正しました。

脆弱性の詳細と、それらがどのように悪用される可能性があるかを示すビデオについては、次のWebサイトをご覧ください。 https://research.checkpoint.com

チェック・ポイント・リサーチについて
チェック・ポイント・リサーチは、主要なサイバー脅威インテリジェンスをチェック・ポイント・ソフトウェアの顧客およびより優れたインテリジェンスコミュニティに提供します。 リサーチチームは、ThreatCloudに保存されているグローバルなサイバー攻撃データを収集して分析し、ハッカーを寄せ付けないようにすると同時に、すべてのチェックポイント製品を最新の保護機能で更新します。 研究チームは、他のセキュリティベンダー、法執行機関、さまざまなCERTと協力する100人を超えるアナリストと研究者で構成されています。

Check Point Researchをフォローする:

Check Point Software Technologies Ltd.について
Check Point Software Technologies Ltd.(www.checkpoint.com)は、世界中の政府および企業にサイバーセキュリティソリューションを提供する大手プロバイダーです。 チェック・ポイントのソリューションは、マルウェア、ランサムウェア、および高度な標的型脅威の業界トップのキャッチ率で、第5世代のサイバー攻撃から顧客を保護します。 チェック・ポイントは、マルチレベルのセキュリティアーキテクチャである「GenVの高度な脅威防止を備えたInfinity Total Protection」を提供します。この複合製品アーキテクチャは、企業のクラウド、ネットワーク、およびモバイルデバイスを防御します。 チェック・ポイントは、最も包括的で直感的なワンポイントの制御セキュリティ管理システムを提供します。 チェック・ポイントは、あらゆる規模の100,000を超える組織を保護します。

###