發佈於

編輯簡介:如果您使用的是Amazon Alexa, Check Point Software 已建議某些Amazon Alexa子域中存在漏洞。 您可能要檢查您的帳戶。 像往常一樣,即使從看似已知的聯繫人看來合法的鏈接也不要單擊發送給您的惡意鏈接(因為聯繫人可能會被黑客入侵)。 供應商的新聞發佈如下。


讓Alexa陷入困境:Check Point Research在某些Amazon Alexa子域中發現漏洞

研究人員演示了黑客如何刪除/安裝受害者的Alexa帳戶上的技能,訪問語音歷史記錄和個人信息

新加坡,@mcgallen#microwire資訊,14年2020月XNUMX日 – Check Point Research,美國威脅情報部門 CheckPoint®軟件技術有限公司 (NASDAQ:CHKP)是全球網絡安全解決方案的領先提供商,最近發現了某些Amazon / Alexa子域中的安全漏洞,這些漏洞可能使黑客刪除/安裝目標受害者的Alexa帳戶上的技能,訪問其語音記錄和個人數據。 攻擊需要用戶單擊由黑客製作的惡意鏈接,並由受害者進行語音交互。 Alexa在全球銷售超過200億個產品,能夠在家庭自動化系統中進行語音交互,設置警報,播放音樂和控制智能設備。 用戶可以通過安裝“技能”來擴展Alexa的功能。 是語音驅動的應用 但是,存儲在用戶Alexa帳戶中的個人信息以及該設備用作家庭自動化控制器使它們成為黑客的誘人目標。

Check Point研究人員演示瞭如何通過黑客精心製作並向目標用戶發送惡意鏈接(似乎來自亞馬遜)來利用他們在某些Amazon / Alexa子域中發現的漏洞。 如果用戶單擊鏈接,則攻擊者可以:

  • 訪問受害者的個人信息,例如銀行數據歷史記錄,用戶名,電話號碼和家庭住址
  • 使用Alexa提取受害者的語音記錄
  • 在用戶的Alexa帳戶上靜默安裝技能(應用程序)
  • 查看Alexa用戶帳戶的整個技能列表
  • 靜默刪除已安裝的技能

“智能揚聲器和虛擬助手非常普遍,很容易忽略它們擁有多少個人數據,以及它們在控製家庭中其他智能設備方面的作用。 但是,黑客將它們視為人們生活的切入點,使他們有機會訪問數據,竊聽對話或在所有者不知情的情況下進行其他惡意行為,” Check Point產品漏洞研究主管Oded Vanunu說。 “我們進行了這項研究,以強調保護這些設備對於維護用戶隱私至關重要。 值得慶幸的是,亞馬遜迅速響應了我們的披露,以關閉某些亞馬遜/ Alexa子域上的這些漏洞。 我們希望類似設備的製造商將效仿亞馬遜的榜樣,並檢查其產品是否存在可能危及用戶隱私的漏洞。 之前,我們對Tiktok,WhatsApp和Fortnite進行過研究。 鑑於Alexa的無處不在和與物聯網設備的連接,Alexa已經使我們關注了一段時間。 這些巨型數字平台對我們的傷害最大。 因此,它們的安全級別至關重要。”

報導後,亞馬遜很快修復了此問題。

有關該漏洞的詳細信息以及顯示如何利用這些漏洞的視頻,請訪問 https://research.checkpoint.com

關於Check Point研究
Check Point Research為您提供領先的網絡威脅情報 Check Point Software 客戶和更大的情報界。 研究團隊收集並分析存儲在ThreatCloud上的全球網絡攻擊數據,以阻止黑客攻擊,同時確保所有Check Point產品都已得到最新保護。 該研究團隊由100多名分析師和研究人員組成,他們與其他安全廠商,執法部門和各種CERT合作。

通過以下方式關注Check Point Research:

關於我們 Check Point Software 科技有限公司
Check Point Software Technologies Ltd.(www.checkpoint.com)是為全球政府和企業提供網絡安全解決方案的領先提供商。 Check Point的解決方案以行業領先的惡意軟件,勒索軟件和高級針對性威脅捕獲率,保護客戶免受第五代網絡攻擊。 Check Point提供了多層安全架構,“具有Gen V高級威脅防禦功能的Infinity全面保護”,這種組合的產品架構可以保護企業的雲,網絡和移動設備。 Check Point提供最全面,最直觀的控制安全管理系統。 Check Point可保護超過5個各種規模的組織。

###