发表于

编辑简介:如果您使用的是Amazon Alexa, Check Point Software 已建议某些Amazon Alexa子域中存在漏洞。 您可能要检查您的帐户。 像往常一样,即使从看似已知的联系人看来合法的链接也不要单击发送给您的恶意链接(因为联系人可能会被黑客入侵)。 供应商的新闻发布如下。


让Alexa陷入困境:Check Point Research在某些Amazon Alexa子域中发现漏洞

研究人员演示了黑客如何删除/安装受害者的Alexa帐户上的技能,访问语音历史记录和个人信息

新加坡,@mcgallen#microwire资讯,14年2020月XNUMX日 – Check Point Research,美国威胁情报部门 CheckPoint®软件技术有限公司 (NASDAQ:CHKP)是全球网络安全解决方案的领先提供商,最近发现了某些Amazon / Alexa子域中的安全漏洞,这些漏洞可能使黑客删除/安装目标受害者的Alexa帐户上的技能,访问其语音历史记录和个人数据。 攻击需要用户单击由黑客制作的恶意链接,并由受害者进行语音交互。 Alexa在全球销售超过200亿个产品,能够在家庭自动化系统中进行语音交互,设置警报,播放音乐和控制智能设备。 用户可以通过安装“技能”来扩展Alexa的功能。 是语音驱动的应用 但是,存储在用户Alexa帐户中的个人信息以及该设备用作家庭自动化控制器使它们成为黑客的诱人目标。

Check Point研究人员演示了如何通过黑客精心设计并向目标用户发送恶意链接(似乎来自亚马逊)来利用他们在某些Amazon / Alexa子域中发现的漏洞。 如果用户单击链接,则攻击者可以:

  • 访问受害者的个人信息,例如银行数据历史记录,用户名,电话号码和家庭住址
  • 使用Alexa提取受害者的语音记录
  • 在用户的Alexa帐户上静默安装技能(应用程序)
  • 查看Alexa用户帐户的整个技能列表
  • 静默删除已安装的技能

“智能扬声器和虚拟助手非常普遍,很容易忽略它们拥有多少个人数据,以及它们在控制家庭中其他智能设备方面的作用。 但是,黑客将它们视为人们生活的切入点,使他们有机会访问数据,窃听对话或进行其他恶意行为,而所有人却不知道。” Check Point产品漏洞研究主管Oded Vanunu说。 “我们进行了这项研究,以强调保护这些设备对于维护用户隐私至关重要。 值得庆幸的是,亚马逊迅速响应了我们的披露,以关闭某些亚马逊/ Alexa子域上的这些漏洞。 我们希望类似设备的制造商将效仿亚马逊的榜样,并检查其产品是否存在可能危及用户隐私的漏洞。 之前,我们对Tiktok,WhatsApp和Fortnite进行过研究。 鉴于Alexa的无处不在和与物联网设备的连接,Alexa已经使我们关注了一段时间。 这些巨型数字平台对我们的伤害最大。 因此,它们的安全级别至关重要。”

报道后,亚马逊很快修复了此问题。

有关该漏洞的详细信息以及显示如何利用这些漏洞的视频,请访问 https://research.checkpoint.com

关于Check Point研究
Check Point Research为您提供领先的网络威胁情报 Check Point Software 客户和更大的情报界。 研究团队收集并分析存储在ThreatCloud上的全球网络攻击数据,以阻止黑客攻击,同时确保所有Check Point产品都已得到最新保护。 该研究团队由100多名分析师和研究人员组成,他们与其他安全厂商,执法部门和各种CERT合作。

通过以下方式关注Check Point Research:

关于我们 Check Point Software 技术公司
Check Point Software Technologies Ltd.(www.checkpoint.com)是为全球政府和企业提供网络安全解决方案的领先提供商。 Check Point的解决方案以行业领先的恶意软件,勒索软件和高级针对性威胁捕获率,保护客户免受第五代网络攻击。 Check Point提供了多层安全架构,“具有Gen V高级威胁防御功能的Infinity全面保护”,这种组合的产品架构可以保护企业的云,网络和移动设备。 Check Point提供最全面,最直观的控制安全管理系统。 Check Point可保护超过5个各种规模的组织。

###