在現(xiàn)實世界中，壞人可能會說服不知情的用戶點擊一個連接到Amazon的惡意鏈接，該鏈接實際上具有代碼注入功能。一旦被點擊，攻擊者就能獲得用戶在Alexa上安裝的應(yīng)用和功能列表。另外，他們

據(jù)外媒neowin報道，安全研究人員在亞馬遜的Alexa語音平臺上發(fā)現(xiàn)了一個漏洞。Check Point Research表示，當(dāng)漏洞被利用時，攻擊者可能會獲得用戶的個人信息，這些信息包括用戶的亞馬遜賬號信息以及語音歷史。

研究人員在對Alexa智能手機(jī)應(yīng)用進(jìn)行測試時發(fā)現(xiàn)了這個漏洞。他們使用一個腳本繞過了保護(hù)應(yīng)用流量的機(jī)制，該機(jī)制則允許他們以明文查看該應(yīng)用。他們還發(fā)現(xiàn)，該應(yīng)用發(fā)出的幾個請求存在策略配置錯誤情況，這可能會使其繞過該策略從而從惡意方控制的域發(fā)送請求。

在現(xiàn)實世界中，壞人可能會說服不知情的用戶點擊一個連接到Amazon的惡意鏈接，該鏈接實際上具有代碼注入功能。一旦被點擊，攻擊者就能獲得用戶在Alexa上安裝的應(yīng)用和功能列表。另外，他們還可以遠(yuǎn)程為受害者安裝和啟用新技能。更嚴(yán)重的攻擊者還可以從用戶的Alexa賬號中獲取他們的語音歷史以及個人信息。

Check Point的產(chǎn)品漏洞研究負(fù)責(zé)人Oded Vanunu在一份新聞稿中說道：“智能揚(yáng)聲器和虛擬助手如此普遍，以至于人們很容易忽視它們所擁有的個人數(shù)據(jù)以及它們在控制我們家中其他智能設(shè)備方面所起的作用。但黑客將其視為進(jìn)入人們生活的入口，讓他們有機(jī)會在所有者不知情的情況下訪問數(shù)據(jù)、竊聽對話或進(jìn)行其他惡意行為。”

Vanunu補(bǔ)充稱，該研究公司在6月份就向亞馬遜強(qiáng)調(diào)過這一缺陷，后者也做出了修復(fù)回應(yīng)。“我們開展這項研究是為了強(qiáng)調(diào)保護(hù)這些設(shè)備對維護(hù)用戶隱私是怎樣得重要。謝天謝地，亞馬遜對我們的泄露做出了迅速反應(yīng)，他們關(guān)閉了某些亞馬遜/Alexa子域名上的這些漏洞。”

關(guān)鍵詞：