一鍵式Amazon鏈接可入侵AmazonAlexa

亞馬遜既出名又臭名昭著，它使用戶只需單擊一下就可以非常輕松地購買商品，甚至為此使用了“ 1-Click”按鈕也是如此。但是，似乎可以毫不費(fèi)力地折衷亞馬遜最受歡迎的產(chǎn)品之一。其AI驅(qū)動的私人助理Alexa可以在許多智能揚(yáng)聲器和智能家居產(chǎn)品中找到，而它所要做的只是精心制作的無辜外觀鏈接，黑客可以借此控制Alexa設(shè)備及其所有者的數(shù)據(jù)。

考慮到智能助手幾乎總是與遠(yuǎn)程服務(wù)器通信以發(fā)揮其神奇作用，因此它們始終會帶來一定的隱私和安全風(fēng)險(xiǎn)。即使在設(shè)備上執(zhí)行語音識別，獲取信息和控制其他設(shè)備之類的事情時(shí)，也幾乎總是需要通過Internet進(jìn)行通信。尤其是當(dāng)用戶想要安裝新的應(yīng)用程序或技能時(shí)，Alexa漏洞即從此處開始。

Check Point Research透露，亞馬遜與Alexa相關(guān)的子域特別容易受到跨域資源共享(CORS)和跨站點(diǎn)腳本(XSS)的攻擊。簡而言之，這意味著只要Amazon的子域彼此通信以執(zhí)行某些任務(wù)，黑客就能夠提取一些重要的信息，例如一些令牌和ID。

研究人員的示例涉及單擊精心偽裝成Alexa技能安裝程序的惡意鏈接。所要做的就是讓不知情的用戶單擊該鏈接，遠(yuǎn)程服務(wù)器之間的一系列通信將產(chǎn)生數(shù)據(jù)，黑客可以使用這些數(shù)據(jù)將代碼注入到Amazon的Alexa技能商店中，以訪問用戶的帳戶。入侵者可以從那里安裝或刪除Alexa技能，甚至獲取受害者的個(gè)人信息。