Amazon Alexa: 重大な欠陥により個人データへのアクセスが可能になる

電子商取引大手の音声アシスタントである Amazon Alexa が、重大なセキュリティ侵害の被害者となっています。 CheckPoint Research のコンピュータ セキュリティ研究者によると、この脆弱性により、ハッカーは音声交換の履歴やユーザーの個人データにアクセスできる可能性があります。

alexa faille
クレジット : ウィキペディア

Amazonの音声アシスタントであるAlexaは、重大なセキュリティ侵害の被害者。 CheckPoint Research のコンピュータ セキュリティ研究者は、8 月 13 日木曜日にプレス リリースを発表し、その中で次のように主張しています。特定の Amazon/Alexa サブドメインに、攻撃者が被害者の Alexa アカウントのスキルを削除/インストールできる可能性がある脆弱性が特定されました。

これらの脆弱性により、攻撃者は「音声交換履歴と個人データにアクセスします」ターゲットの、など銀行口座の詳細、電話番号、さらには住所。研究者らは、Amazon はあなたの銀行口座情報を記録しないが、ハッカーは依然として「記録することができる」ことを明らかにしています。被害者の銀行サービスとのやり取りにアクセスし、データの履歴を取得します。」

こちらもお読みください:Amazon Alexa で Skype 通話ができるようになりました

簡単に悪用可能な欠陥

CheckPoint Research によると、この欠陥の悪用は非常に簡単であることが意図されています。システムに入るには、被害者はアイコンをクリックする必要があります。悪意のあるリンクAmazonからの偽メールに含まれていたもの。このリンクは、ターゲットを悪意のあるコードを含むページにリダイレクトします。ハッカーは、正規のユーザーになりすまして、Alexa のスキル ストアに特別なリクエストを送信するだけで済みます。

配置が完了すると、攻撃者は次のことを開始できます。追加のスキルを削除またはインストールする、または上記のさまざまな個人データにアクセスします。念のために言っておきますが、スキルとは、Alexa のデフォルト機能に追加された音声アプリケーションに他なりません。

こちらもお読みください:Amazon Ring – ハッカーがカメラをハッキングし、家族をスパイし、少女を恐怖に陥れる

アマゾンによると被害者は報告されていない

スマート スピーカーと仮想アシスタントは非常に一般的であるため、それらが保持する個人データの量と、家庭内の他のスマート デバイスの制御における役割を見落としがちです。ハッカーはこれらを、所有者の知らないうちにデータにアクセスしたり、会話を盗聴したり、その他の悪意のある行為を実行したりするための、人々の生活への侵入口とみなしています。チェックポイントの製品脆弱性調査責任者、オデッド・バヌヌ氏はこう振り返ります。

Amazon 側としては、この問題について通知を受け、すぐに欠陥を修正しましたついでに言うと、彼らは何も知識がなかった」当社の顧客に対するこの脆弱性の使用や顧客情報の漏洩を禁止します。」思い出してください、2018年にはアレクサはカップルの会話を本人たちの知らないうちに録音し共有していた

ソース :Android 権限