Check Point Research 发现 Amazon Alexa 特定子域存在漏洞

近日，网络安全解决方案提供商 CheckPoint 软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research 近日在 Amazon/Alexa 特定子域中发现了安全漏洞，黑客可利用这些漏洞删除/安装目标受害者 Alexa 帐户上的 skill，并访问其语音历史记录和个人数据。用户点击一下黑客特制的恶意链接并进行语音交互，便会遭到入侵。

Alexa 能够进行语音交互、设置警报、播放音乐并控制家庭自动化系统中的智能设备，全球销量超过 2 亿台。用户可以通过安装语音驱动应用 skill 来扩展 Alexa 的功能。但用户 Alexa 帐户中存储的大量个人信息及其家庭自动化控制作用使其成为黑客的诱人目标。

Check Point 研究人员展示了黑客如何利用他们在 Amazon/Alexa 特定子域中发现的漏洞，通过向目标用户发送伪造的来自 Amazon 的恶意链接来发起攻击。如果用户点击链接，攻击者就可以：

• 访问受害者的个人信息，例如银行数据历史数据、用户名、电话号码和家庭住址
• 使用 Alexa 提取受害者的语音历史记录
• 在用户的 Alexa 帐户上静默安装 skill（内置功能）
• 查看 Alexa 用户帐户的整个 skill 列表
• 静默删除已安装的 skill

Check Point 产品漏洞研究主管 Oded Vanunu 表示：“智能扬声器和虚拟助手的应用非常普遍，我们很容易忽视它们所拥有的个人数据，以及它们在控制其他家庭智能设备方面的作用。这给了黑客可乘之机，让他们有机会在用户不知情的情况下访问数据、窃听对话或执行其他恶意操作。我们开展这项研究是为了强调这些设备的安全性对于保护用户隐私有多么重要。庆幸的是，Amazon 对我们的披露迅速做出了响应，修复了 Amazon/Alexa 特定子域上的漏洞。我们希望类似设备制造商能够以此为鉴，检查其产品中是否存在可能危及用户隐私的漏洞。我们之前还对 Tiktok、WhatsApp 和 Fortnite 进行了研究。考虑到 Alexa 的普遍性及其与物联网设备的关联，我们关注了它很久。往往是那些越受欢迎的数字平台对我们造成的损失越大。因此，保障它们的安全性至关重要。”

Amazon 在收到报告后及时修复了此问题。