亚马逊Alexa是世界上最受欢迎的虚拟助手之一。它能够执行各种任务,从开玩笑到控制用户的IoT设备。现在,安全专家发现了Alexa中的一个严重漏洞,该漏洞可能使全球数百万Alexa用户的语音历史暴露给黑客。
根据网络安全公司Check Point的报告,亚马逊Alexa的子域存在一个严重漏洞,该漏洞可能允许黑客删除或在目标受害者的Alexa帐户上安装技能,访问其语音历史记录和个人数据。根据该报告,攻击需要用户单击一下由黑客制作的恶意链接,并由受害者进行语音交互。
Check Point研究人员在调查中发现,黑客可以通过欺骗某些Alexa子域并将其发送给目标用户恶意链接,这些链接似乎来自亚马逊。单击恶意链接将使攻击者可以访问受害者的个人信息,例如银行数据历史记录,用户名,电话号码和家庭住址。除此之外,它还允许黑客提取受害者的语音历史记录,在用户的Alexa帐户上静默安装技能,查看Alexa用户帐户的整个技能列表并静默删除已安装的技能。
“但是,黑客将他们(智能扬声器)视为人们生活的切入点,使他们有机会访问数据,窃听对话或在所有者不知情的情况下进行其他恶意行为,” Check产品漏洞研究主管Oded Vanunu点声明中说。
好消息是,亚马逊一经报告就修复了该错误。这意味着Alexa用户可以继续使用他们的设备而无需担心。
“非常感谢,亚马逊对我们的披露做出了快速反应,以消除某些亚马逊/ Alexa子域上的这些漏洞。我们希望类似设备的制造商能够效仿亚马逊的榜样,并检查其产品是否存在可能危及用户隐私的漏洞。”
