セキュリティ企業のCheck Point Researchは、アマゾンの音声アシスタントAlexaに脆弱性があり、ユーザーがリンクをクリックするだけでインストールしたスキルを削除されたり、音声履歴を取得されたりする可能性があったと報告しています。
これらの脆弱性は2020年6月にアマゾンに対して責任を持って開示しており、問題は修正済みとのことです。
同社の研究者レポートによると、アマゾンとAlexaサブドメインの一部にオリジン管理ソース共有(CORS)に設定の間違いがあり、クロスサイトスクリプティング(XSS)の脆弱性があったと明らかになったとのこと。攻撃者はXSSを使ってCSRFトークンを取得でき、所有者に代わってスマートホームのインストール要素にアクセスできたと述べています。
これにより可能なことには、ユーザーが知らない内にAlexaのスキルを自動インストールしたり、インストール済みのスキルリストを取得したり、こっそりスキルを削除したり、被害者の音声履歴を取得したり、住所などの個人情報を取得もできたとのこと。さらには既存のスキルを改造して、Echoデバイスの近くでの会話を盗聴もできたと報告されています。
Check Pointは具体的な攻撃方法を公開していませんが、IoTデバイスはまだ十分なセキュリティを備えていないためサイバー犯罪者にとって魅力的なターゲットであること。そしてIoTデバイスをつなぐブリッジに弱点があることが示されたとして、ブリッジとデバイスの両方を常にセキュアな状態に保つ必要があると警告しています。
アマゾンのAlexaはセキュリティやプライバシーに関して、たびたび物議を醸しています。2019年には同社の従業員が認識精度向上のために録音データを聴いていることが明らかになり、半年後には正当なスキルと見せかけた偽装アプリで盗聴とフィッシングが可能と実証されたこともあります。
デバイスの普及台数に応じてサイバー攻撃の対象にされやすくなることは、Windows PCでも実証済みのことです。今後ますます音声アシスタント機器が世界に広まると予想されるだけに、脆弱性を利用するハッカーとそれを塞ぐセキュリティ研究者や企業らとのイタチごっこは続きそうです。
Source:Chec Point Research
Via:AppleInsider
"インストール済み" - Google ニュース
August 17, 2020 at 12:13PM
https://ift.tt/2FwqkAl
Alexaに盗聴スキルをインストールされる脆弱性が報告される、すでに修正済み - Engadget日本版
"インストール済み" - Google ニュース
https://ift.tt/2SFIu5H
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment