Alexa的新呼叫功能意味著它真的是時(shí)候設(shè)置雙因素身份驗(yàn)證了

如果您還沒(méi)有為您的亞馬遜帳戶(hù)啟用雙因素身份驗(yàn)證，那么現(xiàn)在就像任何時(shí)候一樣好。在最近由私人信息安全和網(wǎng)絡(luò)安全公司SANS Institute舉行的峰會(huì)上，有人指出，由于Alexa應(yīng)用程序不需要2FA，因此任何有權(quán)訪問(wèn)個(gè)人亞馬遜憑證的人都可以訪問(wèn)帳戶(hù)。

數(shù)字取證公司BriMor Labs的Brian Moran在多臺(tái)設(shè)備上測(cè)試應(yīng)用程序時(shí)發(fā)現(xiàn)了這個(gè)問(wèn)題。正如他所發(fā)現(xiàn)的那樣，用戶(hù)在移動(dòng)設(shè)備上的首次登錄需要通過(guò)SMS提供的PIN來(lái)驗(yàn)證用戶(hù)，但這是唯一需要2FA的時(shí)間。

這意味著，如SANS演示文稿中所述，如果您可以訪問(wèn)Amazon憑據(jù)，則可以在任何設(shè)備上登錄帳戶(hù)，并且：

讓Alexa打電話(huà)給另一個(gè)人

收到發(fā)給他人的Alexa電話(huà)

將Alexa消息作為另一個(gè)人發(fā)送

接收發(fā)送給他人的Alexa消息

讓另一個(gè)人的Alexa聯(lián)系人同步到您的設(shè)備

所有這一切都可能在原始用戶(hù)不知道活動(dòng)的情況下發(fā)生。當(dāng)然，如果其他用戶(hù)擁有您的亞馬遜憑據(jù)，除了通過(guò)您的帳戶(hù)進(jìn)行的通話(huà)外，還會(huì)發(fā)生更糟糕的事情。但考慮到新的Echo Show允許您“插入”并從他們的家中觀看可信賴(lài)的聯(lián)系人，這是在您的Echo設(shè)備上啟用2FA的另一個(gè)原因。

根據(jù)SANS的說(shuō)法，亞馬遜安全團(tuán)隊(duì)很高興發(fā)現(xiàn)問(wèn)題并正在修復(fù)問(wèn)題。這里唯一真正的漏洞是SMS引腳只被請(qǐng)求一次(亞馬遜似乎會(huì)修復(fù))，并且一旦你為亞馬遜啟用了2FA，就沒(méi)有辦法退出已經(jīng)擁有訪問(wèn)權(quán)限的其他設(shè)備。

那么，PSA：如果你已經(jīng)為亞馬遜打開(kāi)了2FA，你應(yīng)該沒(méi)問(wèn)題。如果你不這樣做，你應(yīng)該繼續(xù)啟用它，特別是如果你正在考慮參加Echo Show。