スマートスピーカーなどに搭載されているスマートアシスタントには、プライヴァシーに関する問題はつきものだ。しかし、大部分のユーザーにとっては安全性が十分に確保されていると考えられている。 イランのハッカーが誤って流出、不正侵入の様子を記録した動画の中身 こうしたなか、アマゾンの音声アシスタント「Alexa」の脆弱性についての新たな研究によって、スマートアシスタントが蓄積しているユーザーデータについてユーザー自身が意識し、保存するデータの量を最小限に抑えることの重要性が明らかになった。 セキュリティ企業のチェック・ポイント・ソフトウェア・テクノロジーズが8月13日に公表した調査結果によると、Alexaのウェブサーヴィスに脆弱性が存在し、ハッカーがこれを利用して標的とする人物の音声履歴(つまりAlexaとのやりとりの録音データ)をすべて盗み出していた可能性があることが判明した。すでにアマゾンはこの欠陥を修正している。 だが、ユーザーの自宅の住所のほか、Alexaに追加した「スキル」やアプリなどのプロフィール情報も、この脆弱性によって流出していた可能性がある。攻撃者は既存のスキルを削除して悪意あるスキルをインストールし、最初の攻撃後にさらにデータを抜き出すことも可能だった。 「ヴァーチャルアシスタントは話しかければ答えてくれるシステムであり、悪意ある利用のされ方や不安な点にはなかなか考えが及びません」と、チェック・ポイントで製品の脆弱性に関する調査部門を統括するオデッド・ヴァヌヌは言う。「しかし、わたしたちはAlexaのインフラ構成に一連の脆弱性を発見しました。最終的に悪意ある攻撃者がユーザーに関する情報を集め、新たなスキルのインストールまで可能になるような脆弱性です」
脆弱性のあるサブドメインへと巧みに誘導
この脆弱性を悪用する攻撃者は、まず悪意あるリンクをクリックするように仕向ける必要がある。よくある攻撃の手口だ。ところが、アマゾンやAlexaの特定のサブドメインには根本的な欠陥が存在していた。このため攻撃者は、本物らしく見える通常のアマゾンのリンクを作成し、アマゾンのインフラの無防備な部分に被害者を誘い込むことが可能だった。 例えば、「track.amazon.com」(アマゾンの荷物追跡に使用されるページでAlexaには関係ないが、脆弱性が潜んでいる)にユーザーを巧妙に導くことで、攻撃者はコードを埋め込むことができた。そのコードを使ってAlexaのインフラに移動し、攻撃対象のCookie(クッキー)とともに、荷物追跡ページから「skillsstore.amazon.com/app/secure/your-skills-page」に対して特別な要求を送ることができる。 この時点でプラットフォームは攻撃者を正規のユーザーであると誤認する。そしてハッカーは、攻撃対象のすべての音声履歴やインストール済みスキルのリスト、その他のアカウント詳細にアクセスできる。ユーザーが設定済みのスキルをアンインストールすることも可能なほか、もしハッカーが「Alexaスキルストア」に悪意あるスキルをすでに埋め込んでいる場合は、対象のAlexaアカウントにそれをインストールしたりもできる状態にあった。
"インストール済み" - Google ニュース
August 16, 2020 at 10:14AM
https://ift.tt/2E3OMZd
Alexaの音声履歴がハッカーに筒抜けに? セキュリティ企業の調査で見えてきたこと(WIRED.jp) - Yahoo!ニュース
"インストール済み" - Google ニュース
https://ift.tt/2SFIu5H
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment