「アレクサ、ハッカーは私の言うことをすべて聞いているのですか?」
新しい報告書によると、そうであった可能性があります。
サイバーセキュリティ企業チェック・ポイント最新の研究を発表したばかりですAmazon の仮想アシスタント Alexa で。このレポートでは、研究者が Alexa アカウントにアクセスし、ひいては個人データにアクセスすることを可能にする主要な脆弱性について詳しく説明しています。 Amazon は、この問題はすでに修正されており、この脆弱性が顧客に対して悪用された事例は把握していないとしている。
「我々の調査結果では、特定の Amazon/Alexa サブドメインがクロスオリジン リソース シェアリング (CORS) の設定ミスとクロスサイト スクリプティングに対して脆弱であることが判明しました」とレポートには記載されています。 「XSS を使用して、CSRF トークンを取得し、被害者に代わってアクションを実行することができました。」
翻訳: この欠陥により、悪意のある攻撃者がスキル (正規のニュース アプリからハッカーがユーザーの情報を盗むために開発した悪意のあるスキルに至るまで) を Alexa アカウントにインストールおよび削除し、それらのスキルを通じて個人情報を取得することが可能になりました。どのような個人情報ですか?本当に何でも。
チェック・ポイントが電子商取引大手にこの問題を報告した後、アマゾンはこの脆弱性に対する修正を公開した。
マッシュ可能な光の速度
Amazonの広報担当者は声明で「当社のデバイスのセキュリティは最優先事項であり、当社に潜在的な問題をもたらしてくれるチェック・ポイントのような独立系研究者の取り組みに感謝している」と述べた。今後もさらなる体制強化を図ってまいります。この脆弱性が当社の顧客に対して悪用されたり、顧客情報が漏洩したりした例は認識していません。」
Check Point が指摘しているように、Amazon は銀行ログインなどの機密の財務情報を保存しませんが、音声操作はすべて記録されます。そして、なんと... ハッカーもこれらの脆弱性を利用して Alexa の音声履歴にアクセスできた可能性があります。デフォルトでは、仮想アシスタントは基本的に、Alexa 対応デバイスがアクティブになったときにユーザーの発言すべてを記録してアーカイブします。つまり、アクセス可能な個人情報は、Alexa に話した内容、または Alexa がオンになっているときに話した内容にまで及ぶ可能性があります。自宅の住所、ユーザー名、電話番号など、すべてにアクセスできます。
今年初めの CES 2020 で、Amazon発表されたAlexa は、仮想アシスタントを可能にするサードパーティ製品はもちろん、同社の Echo スピーカー、Fire タブレット、ストリーミング デバイスなど、「数億」のデバイスに電力を供給しているという。
それはハッカーにとって何億もの潜在的なターゲットです。
「スマート スピーカーと仮想アシスタントは非常にありふれたものであるため、それらがどれだけの個人データを保持しているか、そして家庭内の他のスマート デバイスを制御する際のそれらの役割が見落とされがちです」と、チェック ポイントの製品脆弱性調査責任者のオデッド バヌヌ氏は声明で述べています。 「しかし、ハッカーはそれらを人々の生活への侵入口とみなし、所有者が気付かないうちにデータにアクセスしたり、会話を盗聴したり、その他の悪意のある行為を実行したりする機会を与えます。」
セキュリティ研究者は長い間、テクノロジー企業や消費者に次のことについて警告してきました。セキュリティ上の欠陥Alexaのような仮想アシスタントについて。昨年10月、ドイツのホワイトハッカーが見つかったGoogleとAmazonはともに、ユーザーを盗聴するAlexaとGoogle Home用のアプリを承認していたという。アマゾンも直面している精査以前に一部の従業員にこれらの Alexa 録音へのアクセスを提供したことに対して。
「Alexaは、その遍在性とIoTデバイスへの接続を考えると、しばらくの間私たちを懸念していました」とバヌヌ氏は述べ、仮想アシスタントを使用して日常の家庭用品やサーモスタットや照明などの電化製品を制御する「モノのインターネット」デバイスについて言及した。 「私たちに最も損害を与える可能性があるのは、これらのメガデジタルプラットフォームです。したがって、そのセキュリティレベルは非常に重要です。」
更新: 2020 年 8 月 14 日午前 10:09 EDTこの記事は Amazon からの声明で更新され、同社が問題を解決したという事実をさらに反映しています。