サイバーセキュリティ企業チェック・ポイントの研究者らは、アマゾンの音声アシスタント「アレクサ」がハッキングされやすい複数の重大な脆弱性について詳しく明らかにした。本日発表されたレポートの中で、研究者らは、特定の Amazon/Alexa サブドメインがクロスオリジン リソース シェアリング (CORS) の構成ミスとクロスサイト スクリプティングに対して脆弱であると述べました。 「XSS を使用して、CSRF トークンを取得し、被害者に代わってアクションを実行することができました」と 彼らは公式ブログ投稿で述べています。
研究者らによると、この脆弱性により、攻撃者は同意なしにユーザーの Alexa アカウントに Alexa の「スキル」をサイレントにインストールまたは削除する可能性があります。ハッカーは、侵害されたAlexaアカウントにインストールされているすべてのスキルのリストにもアクセスできた可能性があるという。さらに懸念されるのは、この欠陥によって攻撃者がユーザーの音声履歴や個人情報にアクセスできるようになったことだ。
「事実上、これらのエクスプロイトにより、攻撃者は標的となった被害者のAlexaアカウントのスキルを削除/インストールし、ユーザーがインストールされたスキルを呼び出した際に、その音声履歴にアクセスし、スキルのインタラクションを通じて個人情報を取得することができた可能性がある」と研究者らは述べている。 ハッカーが他人の Alexa アカウントに侵入するために必要なのは、何も知らないユーザーに特別に細工された Amazon リンクをクリックさせることだけでした。研究者らはまた、概念実証コードを導入することで多くのユーザーの電話番号、自宅住所、ユーザー名、銀行データにアクセスできる可能性があるとも述べた。
Check Point は 6 月にこの調査結果を Amazon に開示しましたが、ありがたいことに、この電子商取引大手はその後脆弱性にパッチを当てました。チェック・ポイントの製品脆弱性調査責任者、オデッド・バヌヌ 氏は次のように述べています 。 「ありがたいことに、Amazon は当社の開示に迅速に対応し、特定の Amazon/Alexa サブドメインの脆弱性を遮断してくれました。」と 彼は言いました。
注目の画像提供: チェック・ポイント
![2021 年に Raspberry Pi Web サーバーをセットアップする方法 [ガイド]](https://i0.wp.com/pcmanabu.com/wp-content/uploads/2019/10/web-server-02-309x198.png?w=1200&resize=1200,0&ssl=1)
