โพสต์

บทสรุปของบรรณาธิการ: หากคุณใช้ Amazon Alexa Check Point Software ได้แจ้งว่ามีช่องโหว่ในโดเมนย่อยของ Amazon Alexa บางโดเมน คุณอาจต้องการตรวจสอบบัญชีของคุณ ตามปกติอย่าคลิกลิงก์ที่เป็นอันตรายที่ส่งถึงคุณแม้ว่าจะดูถูกต้องตามกฎหมายจากผู้ติดต่อที่ดูเหมือนเป็นที่รู้จักก็ตาม (เนื่องจากผู้ติดต่ออาจถูกแฮ็กได้) ข่าวประชาสัมพันธ์ของผู้จำหน่ายอยู่ด้านล่าง


การเปลี่ยน Alexa ไม่ดี: Check Point Research พบช่องโหว่ในโดเมนย่อยของ Amazon Alexa บางโดเมน

นักวิจัยแสดงให้เห็นว่าแฮ็กเกอร์สามารถลบ / ติดตั้งทักษะในบัญชี Alexa ของเหยื่อเข้าถึงประวัติเสียงและข้อมูลส่วนบุคคลได้อย่างไร

สิงคโปร์, @mcgallen #microwireข้อมูล 14 สิงหาคม 2020 - การวิจัยจุดตรวจสอบหน่วยข่าวกรองภัยคุกคามของ Check Point® Software Technologies Ltd. (NASDAQ: CHKP) ผู้ให้บริการโซลูชั่นรักษาความปลอดภัยไซเบอร์ชั้นนำระดับโลกเพิ่งระบุช่องโหว่ด้านความปลอดภัยในโดเมนย่อยของ Amazon / Alexa ซึ่งอาจทำให้แฮ็กเกอร์สามารถลบ / ติดตั้งทักษะในบัญชี Alexa ของเหยื่อเป้าหมายเข้าถึงประวัติเสียงและข้อมูลส่วนบุคคล . การโจมตีต้องใช้การคลิกเพียงครั้งเดียวโดยผู้ใช้บนลิงก์ที่เป็นอันตรายซึ่งสร้างขึ้นโดยแฮ็กเกอร์และการโต้ตอบด้วยเสียงของเหยื่อ ด้วยยอดขายมากกว่า 200 ล้านชิ้นทั่วโลก Alexa สามารถโต้ตอบด้วยเสียงตั้งค่าการแจ้งเตือนเล่นเพลงและควบคุมอุปกรณ์อัจฉริยะในระบบอัตโนมัติภายในบ้าน ผู้ใช้สามารถเพิ่มขีดความสามารถของ Alexa ได้โดยการติดตั้ง 'ทักษะ' ซึ่งเป็นแอปที่ขับเคลื่อนด้วยเสียง อย่างไรก็ตามข้อมูลส่วนบุคคลที่จัดเก็บไว้ในบัญชี Alexa ของผู้ใช้และการใช้อุปกรณ์เป็นตัวควบคุมระบบอัตโนมัติในบ้านทำให้เป็นเป้าหมายที่น่าสนใจสำหรับแฮกเกอร์

นักวิจัยของ Check Point แสดงให้เห็นว่าช่องโหว่ที่พบในโดเมนย่อยของ Amazon / Alexa บางโดเมนอาจถูกแฮ็กเกอร์สร้างขึ้นและส่งลิงก์ที่เป็นอันตรายไปยังผู้ใช้เป้าหมายซึ่งดูเหมือนว่ามาจาก Amazon หากผู้ใช้คลิกลิงก์ผู้โจมตีสามารถ:

  • เข้าถึงข้อมูลส่วนบุคคลของเหยื่อเช่นประวัติข้อมูลธนาคารชื่อผู้ใช้หมายเลขโทรศัพท์และที่อยู่บ้าน
  • ดึงประวัติเสียงของเหยื่อด้วย Alexa
  • ติดตั้งทักษะ (แอพ) แบบเงียบ ๆ ในบัญชี Alexa ของผู้ใช้
  • ดูรายการทักษะทั้งหมดของบัญชีผู้ใช้ Alexa
  • ลบสกิลที่ติดตั้งไว้โดยไม่ได้ตั้งใจ

“ ลำโพงอัจฉริยะและผู้ช่วยเสมือนเป็นเรื่องธรรมดาที่จะมองข้ามข้อมูลส่วนตัวที่เก็บไว้ได้อย่างง่ายดายและบทบาทของพวกเขาในการควบคุมอุปกรณ์อัจฉริยะอื่น ๆ ในบ้าน แต่แฮกเกอร์มองว่าพวกเขาเป็นจุดเริ่มต้นในชีวิตของผู้คนทำให้พวกเขามีโอกาสเข้าถึงข้อมูลดักฟังการสนทนาหรือดำเนินการที่เป็นอันตรายอื่น ๆ โดยที่เจ้าของไม่ได้รับรู้” Oded Vanunu หัวหน้าฝ่ายวิจัยช่องโหว่ของผลิตภัณฑ์ของ Check Point กล่าว “ เราทำการวิจัยนี้เพื่อเน้นว่าการรักษาความปลอดภัยอุปกรณ์เหล่านี้มีความสำคัญต่อการรักษาความเป็นส่วนตัวของผู้ใช้อย่างไร โชคดีที่ Amazon ตอบสนองอย่างรวดเร็วต่อการเปิดเผยของเราเพื่อปิดช่องโหว่เหล่านี้ในโดเมนย่อยของ Amazon / Alexa เราหวังว่าผู้ผลิตอุปกรณ์ที่คล้ายกันจะปฏิบัติตามตัวอย่างของ Amazon และตรวจสอบผลิตภัณฑ์ของตนเพื่อหาช่องโหว่ที่อาจทำลายความเป็นส่วนตัวของผู้ใช้ ก่อนหน้านี้เราได้ทำการวิจัยเกี่ยวกับ Tiktok, WhatsApp และ Fortnite Alexa ให้ความสำคัญกับเรามาระยะหนึ่งแล้วเนื่องจากมีการแพร่หลายและการเชื่อมต่อกับอุปกรณ์ IoT เป็นแพลตฟอร์มดิจิทัลขนาดใหญ่ที่สามารถทำร้ายเราได้มากที่สุด ดังนั้นระดับความปลอดภัยจึงมีความสำคัญอย่างยิ่ง”

Amazon แก้ไขปัญหานี้ไม่นานหลังจากได้รับรายงาน

สำหรับรายละเอียดเกี่ยวกับช่องโหว่และวิดีโอที่แสดงให้เห็นว่าช่องโหว่เหล่านี้สามารถถูกใช้ประโยชน์ได้อย่างไรโปรดไปที่ https://research.checkpoint.com

เกี่ยวกับ Check Point Research
Check Point Research นำเสนอข่าวกรองภัยคุกคามทางไซเบอร์ชั้นนำ Check Point Software ลูกค้าและชุมชนข่าวกรองที่ยิ่งใหญ่กว่า ทีมวิจัยรวบรวมและวิเคราะห์ข้อมูลการโจมตีทางไซเบอร์ทั่วโลกที่จัดเก็บบน ThreatCloud เพื่อป้องกันไม่ให้แฮกเกอร์สามารถเข้าถึงได้ในขณะเดียวกันก็ตรวจสอบให้แน่ใจว่าผลิตภัณฑ์ Check Point ทั้งหมดได้รับการอัปเดตด้วยการป้องกันล่าสุด ทีมวิจัยประกอบด้วยนักวิเคราะห์และนักวิจัยกว่า 100 คนที่ร่วมมือกับผู้ขายความปลอดภัยอื่น ๆ การบังคับใช้กฎหมายและ CERT ต่างๆ

ติดตาม Check Point Research ได้ทาง:

เกี่ยวกับเรา Check Point Software เทคโนโลยี จำกัด
Check Point Software Technologies Ltd. (www.checkpoint.com) เป็นผู้ให้บริการโซลูชั่นด้านความปลอดภัยทางไซเบอร์ชั้นนำให้กับรัฐบาลและองค์กรต่างๆทั่วโลก โซลูชันของ Check Point ปกป้องลูกค้าจากการโจมตีทางไซเบอร์รุ่นที่ 5 ด้วยอัตราการจับมัลแวร์แรนซัมแวร์และภัยคุกคามขั้นสูงที่เป็นเป้าหมายในอุตสาหกรรม Check Point นำเสนอสถาปัตยกรรมการรักษาความปลอดภัยหลายระดับ“ Infinity Total Protection พร้อมการป้องกันภัยคุกคามขั้นสูง Gen V” สถาปัตยกรรมผลิตภัณฑ์แบบผสมผสานนี้ปกป้องระบบคลาวด์เครือข่ายและอุปกรณ์พกพาขององค์กร Check Point ให้ระบบการจัดการความปลอดภัยในการควบคุมจุดเดียวที่ครอบคลุมและใช้งานง่ายที่สุด Check Point ปกป้องมากกว่า 100,000 องค์กรทุกขนาด

# # #