Amazon Alexa를 사용하는 경우 계정 보안을 고려하십시오.
편집자 요약 : Amazon Alexa를 사용하는 경우 Check Point Software 특정 Amazon Alexa 하위 도메인에 취약점이 있음을 알렸습니다. 계정을 확인하고 싶을 수 있습니다. 평소와 같이 알려진 연락처에서 합법적으로 보이더라도(연락처가 해킹될 수 있으므로) 전송된 악성 링크를 클릭하지 마십시오. 아래에서 더 읽어보세요.
싱가포르 – Check Point Research, 위협 인텔리전스 체크포인트 소프트웨어 테크놀로지스 (NASDAQ : CHKP)는 전 세계적으로 사이버 보안 솔루션을 제공하는 선두 업체로 최근 특정 Amazon / Alexa 하위 도메인에서 해커가 대상 피해자의 Alexa 계정에서 기술을 제거 / 설치하고 음성 기록 및 개인 데이터에 액세스 할 수 있도록 허용 한 보안 취약성을 확인했습니다. . 공격은 해커가 만든 악성 링크와 피해자의 음성 상호 작용을 사용자가 한 번만 클릭해야했습니다. 전 세계적으로 200 억 개 이상 판매 된 Alexa는 음성 상호 작용, 알림 설정, 음악 재생 및 홈 자동화 시스템에서 스마트 장치 제어가 가능합니다. 사용자는 '스킬'을 설치하여 Alexa의 기능을 확장 할 수 있습니다. 음성 기반 앱입니다. 그러나 사용자의 Alexa 계정에 저장된 개인 정보와 기기가 홈 자동화 컨트롤러로 사용되기 때문에 해커의 매력적인 표적이됩니다.
Check Point 연구원은 특정 Amazon / Alexa 하위 도메인에서 발견 한 취약점이 Amazon에서 온 것으로 보이는 대상 사용자에게 악성 링크를 만들고 전송하는 해커가 어떻게 악용 할 수 있는지 보여주었습니다. 사용자가 링크를 클릭하면 공격자는 다음을 수행 할 수 있습니다.
- 은행 데이터 기록, 사용자 이름, 전화 번호 및 집 주소와 같은 피해자의 개인 정보에 액세스합니다.
- Alexa로 피해자의 음성 기록 추출
- 사용자의 Alexa 계정에 기술 (앱)을 자동으로 설치
- Alexa 사용자 계정의 전체 기술 목록보기
- 설치된 스킬을 자동으로 제거
“스마트 스피커와 가상 비서가 너무 흔해서 보유하고있는 개인 데이터의 양과 가정에서 다른 스마트 기기를 제어하는 역할을 간과하기 쉽습니다. 하지만 해커들은이를 사람들의 삶의 진입 점으로보고 데이터에 액세스하고 대화를 도청하거나 소유자가 알지 못하는 사이에 기타 악의적 인 행동을 수행 할 수있는 기회를 제공합니다.”Check Point의 제품 취약성 연구 책임자 인 Oded Vanunu가 말했습니다. “우리는 이러한 장치의 보안이 사용자의 개인 정보를 유지하는 데 얼마나 중요한지 강조하기 위해이 연구를 수행했습니다. 고맙게도 Amazon은 특정 Amazon / Alexa 하위 도메인에서 이러한 취약성을 차단하기 위해 공개에 신속하게 대응했습니다. 유사한 장치의 제조업체가 Amazon의 예를 따르고 사용자의 개인 정보를 손상시킬 수있는 취약점이 있는지 제품을 확인하기를 바랍니다. 이전에는 Tiktok, WhatsApp 및 Fortnite에 대한 연구를 수행했습니다. Alexa는 IoT 장치에 대한 편재성과 연결성을 고려할 때 한동안 우리를 염려했습니다. 우리에게 가장 큰 피해를 줄 수있는 것은 바로 이러한 메가 디지털 플랫폼입니다. 따라서 보안 수준이 매우 중요합니다. "
Amazon은보고 된 직후이 문제를 해결했습니다.
취약성에 대한 자세한 내용과이를 악용 할 수있는 방법을 보여주는 동영상은 https://research.checkpoint.com
# # #