Alexa的新呼叫功能意味着它真的是时候设置双因素身份验证了

2019-05-23 16:16:06 编辑：来源：

导读如果您还没有为您的亚马逊帐户启用双因素身份验证，那么现在就像任何时候一样好。在最近由私人信息安全和网络安全公司SANS Institute举行

如果您还没有为您的亚马逊帐户启用双因素身份验证，那么现在就像任何时候一样好。在最近由私人信息安全和网络安全公司SANS Institute举行的峰会上，有人指出，由于Alexa应用程序不需要2FA，因此任何有权访问个人亚马逊凭证的人都可以访问帐户。

数字取证公司BriMor Labs的Brian Moran在多台设备上测试应用程序时发现了这个问题。正如他所发现的那样，用户在移动设备上的首次登录需要通过SMS提供的PIN来验证用户，但这是唯一需要2FA的时间。

这意味着，如SANS演示文稿中所述，如果您可以访问Amazon凭据，则可以在任何设备上登录帐户，并且：

让Alexa打电话给另一个人

收到发给他人的Alexa电话

将Alexa消息作为另一个人发送

接收发送给他人的Alexa消息

让另一个人的Alexa联系人同步到您的设备

所有这一切都可能在原始用户不知道活动的情况下发生。当然，如果其他用户拥有您的亚马逊凭据，除了通过您的帐户进行的通话外，还会发生更糟糕的事情。但考虑到新的Echo Show允许您“插入”并从他们的家中观看可信赖的联系人，这是在您的Echo设备上启用2FA的另一个原因。

根据SANS的说法，亚马逊安全团队很高兴发现问题并正在修复问题。这里唯一真正的漏洞是SMS引脚只被请求一次(亚马逊似乎会修复)，并且一旦你为亚马逊启用了2FA，就没有办法退出已经拥有访问权限的其他设备。

那么，PSA：如果你已经为亚马逊打开了2FA，你应该没问题。如果你不这样做，你应该继续启用它，特别是如果你正在考虑参加Echo Show。

标签： Alexa的新呼叫

免责声明：本文由用户上传，如有侵权请联系删除！