一键式Amazon链接可入侵AmazonAlexa

2022-05-15 08:42:01 编辑：林政绿来源：

导读亚马逊既出名又臭名昭著，它使用户只需单击一下就可以非常轻松地购买商品，甚至为此使用了 1-Click按钮也是如此。但是，似乎可以毫不费力

亚马逊既出名又臭名昭著，它使用户只需单击一下就可以非常轻松地购买商品，甚至为此使用了“ 1-Click”按钮也是如此。但是，似乎可以毫不费力地折衷亚马逊最受欢迎的产品之一。其AI驱动的私人助理Alexa可以在许多智能扬声器和智能家居产品中找到，而它所要做的只是精心制作的无辜外观链接，黑客可以借此控制Alexa设备及其所有者的数据。

考虑到智能助手几乎总是与远程服务器通信以发挥其神奇作用，因此它们始终会带来一定的隐私和安全风险。即使在设备上执行语音识别，获取信息和控制其他设备之类的事情时，也几乎总是需要通过Internet进行通信。尤其是当用户想要安装新的应用程序或技能时，Alexa漏洞即从此处开始。

Check Point Research透露，亚马逊与Alexa相关的子域特别容易受到跨域资源共享(CORS)和跨站点脚本(XSS)的攻击。简而言之，这意味着只要Amazon的子域彼此通信以执行某些任务，黑客就能够提取一些重要的信息，例如一些令牌和ID。

研究人员的示例涉及单击精心伪装成Alexa技能安装程序的恶意链接。所要做的就是让不知情的用户单击该链接，远程服务器之间的一系列通信将产生数据，黑客可以使用这些数据将代码注入到Amazon的Alexa技能商店中，以访问用户的帐户。入侵者可以从那里安装或删除Alexa技能，甚至获取受害者的个人信息。

标签：

免责声明：本文由用户上传，如有侵权请联系删除！