Alexaに盗聴スキルをインストールされる脆弱性が報告される、すでに修正済み

1 month ago 51
ARTICLE AD
The updated Amazon Alexa Plus,is on display in Amazon's Day 1 building in Seattle on September 20, 2018. - Amazon weaves its Alexa digital assistant into more services and devices as it unveiles new products powered by artificial intelligence including a smart microwave and dash-mounted car gadget. (Photo by Grant HINDSLEY / AFP)        (Photo credit should read GRANT HINDSLEY/AFP via Getty Images)

AFP via Getty Images

セキュリティ企業のCheck Point Researchは、アマゾンの音声アシスタントAlexaに脆弱性があり、ユーザーがリンクをクリックするだけでインストールしたスキルを削除されたり、音声履歴を取得されたりする可能性があったと報告しています。

これらの脆弱性は2020年6月にアマゾンに対して責任を持って開示しており、問題は修正済みとのことです。

同社の研究者レポートによると、アマゾンとAlexaサブドメインの一部にオリジン管理ソース共有(CORS)に設定の間違いがあり、クロスサイトスクリプティング(XSS)の脆弱性があったと明らかになったとのこと。攻撃者はXSSを使ってCSRFトークンを取得でき、所有者に代わってスマートホームのインストール要素にアクセスできたと述べています。

これにより可能なことには、ユーザーが知らない内にAlexaのスキルを自動インストールしたり、インストール済みのスキルリストを取得したり、こっそりスキルを削除したり、被害者の音声履歴を取得したり、住所などの個人情報を取得もできたとのこと。さらには既存のスキルを改造して、Echoデバイスの近くでの会話を盗聴もできたと報告されています。

Check Pointは具体的な攻撃方法を公開していませんが、IoTデバイスはまだ十分なセキュリティを備えていないためサイバー犯罪者にとって魅力的なターゲットであること。そしてIoTデバイスをつなぐブリッジに弱点があることが示されたとして、ブリッジとデバイスの両方を常にセキュアな状態に保つ必要があると警告しています。

アマゾンのAlexaはセキュリティやプライバシーに関して、たびたび物議を醸しています。2019年には同社の従業員が認識精度向上のために録音データを聴いていることが明らかになり、半年後には正当なスキルと見せかけた偽装アプリで盗聴とフィッシングが可能と実証されたこともあります。

デバイスの普及台数に応じてサイバー攻撃の対象にされやすくなることは、Windows PCでも実証済みのことです。今後ますます音声アシスタント機器が世界に広まると予想されるだけに、脆弱性を利用するハッカーとそれを塞ぐセキュリティ研究者や企業らとのイタチごっこは続きそうです。

Source:Chec Point Research

Via:AppleInsider

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

TechCrunch Japan 編集部おすすめのハードウェア記事

関連キーワード: Amazon, Amazon Alexa, voiceassistant, security, privacy, vulnerability, news, gear
Read Entire Article