Alexa的新呼叫功能意味著它真的是時(shí)候設(shè)置雙因素身份驗(yàn)證了

如果您還沒有為您的亞馬遜帳戶啟用雙因素身份驗(yàn)證，那么現(xiàn)在就像任何時(shí)候一樣好。在最近由私人信息安全和網(wǎng)絡(luò)安全公司SANS Institute舉行的峰會(huì)上，有人指出，由于Alexa應(yīng)用程序不需要2FA，因此任何有權(quán)訪問個(gè)人亞馬遜憑證的人都可以訪問帳戶。

數(shù)字取證公司BriMor Labs的Brian Moran在多臺(tái)設(shè)備上測試應(yīng)用程序時(shí)發(fā)現(xiàn)了這個(gè)問題。正如他所發(fā)現(xiàn)的那樣，用戶在移動(dòng)設(shè)備上的首次登錄需要通過SMS提供的PIN來驗(yàn)證用戶，但這是唯一需要2FA的時(shí)間。

這意味著，如SANS演示文稿中所述，如果您可以訪問Amazon憑據(jù)，則可以在任何設(shè)備上登錄帳戶，并且：

讓Alexa打電話給另一個(gè)人

收到發(fā)給他人的Alexa電話

將Alexa消息作為另一個(gè)人發(fā)送

接收發(fā)送給他人的Alexa消息

讓另一個(gè)人的Alexa聯(lián)系人同步到您的設(shè)備

所有這一切都可能在原始用戶不知道活動(dòng)的情況下發(fā)生。當(dāng)然，如果其他用戶擁有您的亞馬遜憑據(jù)，除了通過您的帳戶進(jìn)行的通話外，還會(huì)發(fā)生更糟糕的事情。但考慮到新的Echo Show允許您“插入”并從他們的家中觀看可信賴的聯(lián)系人，這是在您的Echo設(shè)備上啟用2FA的另一個(gè)原因。

根據(jù)SANS的說法，亞馬遜安全團(tuán)隊(duì)很高興發(fā)現(xiàn)問題并正在修復(fù)問題。這里唯一真正的漏洞是SMS引腳只被請求一次(亞馬遜似乎會(huì)修復(fù))，并且一旦你為亞馬遜啟用了2FA，就沒有辦法退出已經(jīng)擁有訪問權(quán)限的其他設(shè)備。

那么，PSA：如果你已經(jīng)為亞馬遜打開了2FA，你應(yīng)該沒問題。如果你不這樣做，你應(yīng)該繼續(xù)啟用它，特別是如果你正在考慮參加Echo Show。