一鍵式Amazon鏈接可入侵AmazonAlexa

2022-05-15 08:42:01 編輯：林政綠來源：

導讀亞馬遜既出名又臭名昭著，它使用戶只需單擊一下就可以非常輕松地購買商品，甚至為此使用了 1-Click按鈕也是如此。但是，似乎可以毫不費力

亞馬遜既出名又臭名昭著，它使用戶只需單擊一下就可以非常輕松地購買商品，甚至為此使用了“ 1-Click”按鈕也是如此。但是，似乎可以毫不費力地折衷亞馬遜最受歡迎的產品之一。其AI驅動的私人助理Alexa可以在許多智能揚聲器和智能家居產品中找到，而它所要做的只是精心制作的無辜外觀鏈接，黑客可以借此控制Alexa設備及其所有者的數據。

考慮到智能助手幾乎總是與遠程服務器通信以發揮其神奇作用，因此它們始終會帶來一定的隱私和安全風險。即使在設備上執行語音識別，獲取信息和控制其他設備之類的事情時，也幾乎總是需要通過Internet進行通信。尤其是當用戶想要安裝新的應用程序或技能時，Alexa漏洞即從此處開始。

Check Point Research透露，亞馬遜與Alexa相關的子域特別容易受到跨域資源共享(CORS)和跨站點腳本(XSS)的攻擊。簡而言之，這意味著只要Amazon的子域彼此通信以執行某些任務，黑客就能夠提取一些重要的信息，例如一些令牌和ID。

研究人員的示例涉及單擊精心偽裝成Alexa技能安裝程序的惡意鏈接。所要做的就是讓不知情的用戶單擊該鏈接，遠程服務器之間的一系列通信將產生數據，黑客可以使用這些數據將代碼注入到Amazon的Alexa技能商店中，以訪問用戶的帳戶。入侵者可以從那里安裝或刪除Alexa技能，甚至獲取受害者的個人信息。

標簽：

免責聲明：本文由用戶上傳，如有侵權請聯系刪除！