木曜日、セキュリティ会社チェック・ポイントの研究者ら報告されましたAmazon Alexaに重大な欠陥が発見され、2億人以上のユーザーの音声履歴がハッカーに公開される恐れがあると発表した。
によると報告Check Point によると、「特定の Amazon/Alexa サブドメインがクロスオリジン リソース シェアリング (CORS) の構成ミスとクロスサイト スクリプティングに対して脆弱であることが判明しました。 XSS を使用して、CSRF トークンを取得し、被害者に代わってアクションを実行することができました。」
これらの脆弱性により、攻撃者は次のことを行うことができた可能性があります。
- ユーザーの Alexa アカウントにスキル (アプリ) をサイレントにインストールする
- ユーザーのAlexaアカウントにインストールされているすべてのスキルのリストを取得します
- インストールされたスキルをサイレントに削除する
- 被害者のAlexaを使って音声履歴を取得する
- 被害者の個人情報を入手する
実際、これらのエクスプロイトにより、攻撃者はターゲットの被害者の Alexa アカウントのスキルを削除/インストールし、音声履歴にアクセスし、ユーザーがインストールされたスキルを呼び出したときにスキルのインタラクションを通じて個人情報を取得することが可能になる可能性があります。
報告書によれば、このハッキングは攻撃者によって意図的に作成され送信された「Amazon リンクをワンクリックするだけで済む」ため、Alexa ユーザーはこの脆弱性の格好の餌食になった可能性があるという。
このハッキングでは、悪意のある Amazon リンクを作成する必要があり、それが何も知らないユーザーに送信されることになります。ユーザーが悪意のあるリンクをクリックすると、ハッカーはスキルリスト全体を表示し、ユーザーの Alexa アカウントにスキルをインストールおよび削除し、被害者の音声履歴にアクセスできるようになります。
研究者らは、ハッカーが正規のサービスと同じ「呼び出しフレーズ」(トリガーに使用される一連の話し言葉)を使用する別のAlexaスキルを作成することでこの欠陥を回避できる可能性があると指摘した。
「スマート スピーカーと仮想アシスタントは非常にありふれたものであるため、それらがどれだけの個人データを保持しているか、そして家庭内の他のスマート デバイスを制御する際のそれらの役割は見落とされがちです。しかし、ハッカーはこれらを人々の生活への侵入口とみなしており、所有者が気付かないうちにデータにアクセスしたり、会話を盗聴したり、その他の悪意のある行為を実行したりする機会を与えます」とチェック・ポイントの製品脆弱性調査責任者、オデッド・バヌヌ氏は述べています。
「私たちは、ユーザーのプライバシーを維持するためにこれらのデバイスのセキュリティを確保することがいかに重要であるかを強調するためにこの調査を実施しました。私たちは、同様のデバイスのメーカーが Amazon の例に倣い、ユーザーのプライバシーを侵害する可能性のある脆弱性がないか自社製品をチェックすることを望んでいます。 Alexa は、その遍在性と IoT デバイスへの接続を考慮して、しばらくの間私たちに懸念を抱いてきました。最大のセキュリティリスクをもたらし、私たちに最も大きな損害を与える可能性があるのは、これらのメガデジタルプラットフォームです。したがって、そのセキュリティレベルは非常に重要です。」
Amazon は機密の財務情報を保管していますが、自宅の住所、ユーザー名、電話番号などの個人データはディレクトリに保存されており、ハッカーがアクセスした可能性があります。
この脆弱性を発見したチェック・ポイントは、2020 年 6 月に Amazon に通知し、Amazon はそれ以降、この脆弱性にパッチを適用するアップデートを公開しました。
アマゾンの広報担当者は声明で、「当社のデバイスのセキュリティは最優先事項であり、潜在的な問題をもたらしてくれるチェック・ポイントのような独立系研究者の取り組みに感謝している」と述べた。
「この問題が報告されてからすぐに修正し、システムのさらなる強化を続けています。この脆弱性が当社の顧客に対して悪用されたり、顧客情報が漏洩したりした例は認識していません。」
