亚马逊Alexa漏洞可能让黑客远程安装恶意技能

注意如果你在智能扬声器中使用亚马逊的语音助手Alexa，只要打开一个看似无辜的网页链接，攻击者就可以在其上安装黑客技能，远程监视你的活动。

Check Point网络安全研究人员—；迪卡拉·巴尔达、罗曼·扎金和雅拉·施里基—；今天披露了亚马逊Alexa virtual assistant中的严重安全漏洞，该漏洞可能使其容易受到许多恶意攻击。

根据Check Point Research发布并与《黑客新闻》共享的一份新报告，这些“漏洞攻击可能会让攻击者在目标受害者的Alexa帐户上删除/安装技能，访问他们的语音记录，并在用户调用已安装的技能时通过技能交互获取个人信息。”

产品漏洞研究负责人奥德·瓦努努（Oded Vanunu）说：“智能扬声器和虚拟助手非常常见，很容易忽视它们所持有的个人数据量，以及它们在控制我们家中其他智能设备中的作用。”。

他补充说：“但黑客将其视为进入人们生活的入口，让他们有机会在主人不知情的情况下访问数据、窃听对话或进行其他恶意行为。”。


Amazon patched the vulnerabilities after the researchers disclosed their findings to the company in June 2020.

亚马逊的一个子域名中存在XSS漏洞

Check Point表示，这些缺陷源于亚马逊Alexa mobile应用程序中错误配置的CORS策略，因此可能允许在一个亚马逊子域上具有代码注入功能的对手对另一个亚马逊子域进行跨域攻击。

换句话说，成功利用该漏洞只需点击攻击者精心打造的亚马逊链接，即可将用户引导至易受XSS攻击的亚马逊子域。

此外，研究人员发现，检索Alexa设备上所有已安装技能列表的请求也会在响应中返回CSRF令牌。

CSRF令牌的主要目的是防止跨站点请求伪造攻击，其中恶意链接或程序会导致经过身份验证的用户的web浏览器在合法网站上执行不必要的操作。

这是因为网站无法区分合法请求和伪造请求。

但是，在拥有令牌的情况下，一个不好的参与者可以创建对后端服务器的有效请求，并代表受害者执行操作，例如远程为受害者安装和启用新技能。

简而言之，该攻击的工作原理是，提示用户点击一个恶意链接，该链接导航到一个带有XSS漏洞的亚马逊子域（“track.Amazon.com”），该漏洞可被利用来实现代码注入。


然后，攻击者使用它触发一个请求，向“skillsstore.amazon.com”子域发送受害者的凭据，以获取Alexa帐户和CSRF令牌上所有已安装技能的列表。

在最后一个阶段，利用该漏洞从响应中捕获CSRF令牌，并使用它在目标的Alexa帐户上安装具有特定技能ID的技能，偷偷删除已安装的技能，获取受害者的语音命令历史记录，甚至访问存储在用户配置文件中的个人信息。

物联网安全的必要性

到2025年，全球智能扬声器市场规模预计将达到156亿美元，这项研究是物联网领域安全至关重要的另一个原因。

随着虚拟助理变得越来越普遍，它们越来越成为攻击者窃取敏感信息和破坏智能家居系统的有利可图的目标。

研究人员得出结论：“物联网设备本身就很脆弱，而且仍然缺乏足够的安全性，这使得它们成为威胁行为者的诱人目标。”。

“网络犯罪分子正在不断寻找新的方法来破坏设备，或利用它们感染其他关键系统。桥梁和设备都是入口点。它们必须时刻保持安全，以防止黑客侵入我们的智能家居。”

“我们设备的安全是重中之重，我们感谢Check Point等独立研究人员的工作，他们为我们带来了潜在的问题。我们在注意到这个问题后很快就解决了这个问题，我们继续进一步加强我们的系统，”亚马逊发言人通过电子邮件告诉《黑客新闻》。“我们不知道有任何针对我们的客户使用此漏洞的案例，也不知道有任何客户信息被泄露。”