国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

Check Point安全研究人員發(fā)現(xiàn)了一系列漏洞，這些漏洞可能為針對(duì)亞馬遜虛擬助手Alexa的各種攻擊打開了大門。

這些攻擊涉及在Amazon和Alexa子域上發(fā)現(xiàn)的跨域資源共享（CORS）錯(cuò)誤配置和跨站點(diǎn)腳本（XSS）錯(cuò)誤，最終使研究人員可以代表合法用戶執(zhí)行各種操作。

成功利用這些漏洞可能使攻擊者能夠檢索Alexa用戶的個(gè)人信息以及他們與Alexa的語(yǔ)音歷史記錄，還可以代表用戶安裝應(yīng)用程序（技能），列出已安裝的技能或刪除它們。

Check Point的安全研究人員發(fā)布了一段演示該漏洞的視頻，解釋說：“成功利用該漏洞僅需單擊攻擊者特制的Amazon鏈接�！�

為了進(jìn)行攻擊，對(duì)手需要?jiǎng)?chuàng)建一個(gè)惡意鏈接，該鏈接將用戶定向到amazon.com，將其發(fā)送給受害者，然后誘使他們單擊它。攻擊者將需要在目標(biāo)頁(yè)面上注入代碼。

接下來，攻擊者將帶有用戶cookie的Ajax請(qǐng)求發(fā)送到amazon.com/app/secure/your-skills-page，這使他們可以檢索受害者的Alexa帳戶上安裝的技能列表。

Check Point說，該響應(yīng)還包含CSRF令牌，攻擊者可以使用該CSRF令牌從列表中刪除一項(xiàng)常用技能。然后，攻擊者可以使用相同的調(diào)用短語(yǔ)來安裝一項(xiàng)技能，從而導(dǎo)致用戶觸發(fā)了攻擊者的技能，而不是原始技能。

安全研究人員指出，盡管亞馬遜未記錄銀行登錄憑據(jù)，但攻擊者可以利用銀行技能訪問用戶的交互并獲取其數(shù)據(jù)歷史記錄。此外，還可以根據(jù)安裝的技能來檢索用戶名和電話號(hào)碼。

亞馬遜已于2020年6月收到有關(guān)發(fā)現(xiàn)的漏洞的警報(bào)，并已予以解決。該公司已建立了安全機(jī)制，以防止惡意技能被發(fā)布到其商店。

“我們將設(shè)備的安全放在首位，感謝Check Point等獨(dú)立研究人員的工作，這些工作給我們帶來了潛在的問題。在引起我們注意后，我們已盡快修復(fù)此問題，我們將繼續(xù)加強(qiáng)我們的系統(tǒng)我們不知道有任何情況可以利用此漏洞來對(duì)付我們的客戶或暴露任何客戶信息，”亞馬遜發(fā)言人在一封電子郵件評(píng)論中告訴《證券周刊》。

Check Point總結(jié)道：“智能家居中使用虛擬助手來控制日常的IoT設(shè)備[…]。在過去的十年中，它們?cè)絹碓绞軞g迎，并在我們的日常生活中發(fā)揮作用，而且隨著技術(shù)的發(fā)展，它們將變得更加普及。對(duì)于希望竊取私人和敏感信息或破壞個(gè)人智能家庭環(huán)境的攻擊者來說，這使虛擬助手成為有吸引力的目標(biāo)�！�

KnowBe4的安全意識(shí)倡導(dǎo)者Javvad Malik指出，這種依靠社會(huì)工程手段誘騙受害者訪問鏈接的攻擊可以通過安全培訓(xùn)來避免。

“從技術(shù)角度來看，隨著設(shè)備的互聯(lián)生態(tài)系統(tǒng)的發(fā)展，對(duì)于制造商來說，確保評(píng)估所有代碼和訪問權(quán)限不僅針對(duì)技術(shù)安全漏洞，而且還可以由犯罪分子繞過流程來泄露敏感信息，腐敗行為變得越來越重要。數(shù)據(jù)，或者使它們不可用。”馬利克說。

Webroot首席解決方案架構(gòu)師Matt Aldridge在一封電子郵件評(píng)論中說：“ Amazon Echo和相關(guān)的Alexa語(yǔ)音助手服務(wù)等物聯(lián)網(wǎng)設(shè)備的安全性是一個(gè)重要的問題�！�

對(duì)這些設(shè)備的需求不斷增長(zhǎng)，要求制造商將重點(diǎn)放在其安全性和隱私性上。物聯(lián)網(wǎng)制造商需要與網(wǎng)絡(luò)安全專業(yè)人員更緊密地合作，以確保在設(shè)計(jì)階段就考慮并理解設(shè)備安全性，而不是事后才實(shí)現(xiàn)。” Aldridge補(bǔ)充說。