新的研究发现了亚马逊虚拟助手中的主要安全漏洞

　　“ Alexa，黑客在听我对你说的一切吗?”根据一份新报告，他们本来可以的。网络安全公司Check Point刚刚发表了最新研究在亚马逊的虚拟助手Alexa上。该报告详细介绍了主要漏洞，这些漏洞使研究人员可以访问Alexa帐户，然后再访问个人数据。亚马逊表示，该问题已得到解决，并且尚无任何针对客户的漏洞利用案例。
　　报告称：“我们的发现表明，某些Amazon / Alexa子域容易受到跨域资源共享(CORS)配置错误和跨站点脚本攻击的影响。”“使用XSS，我们能够获得CSRF令牌并代表受害者执行操作。”
　　翻译：这些漏洞使恶意行为者可以在Alexa帐户上安装和删除技能(从合法新闻应用程序到黑客为窃取您的信息而开发的恶意技能)，并通过这些技能获取您的个人信息。什么样的个人信息?真的。
　　自从Check Point向电子商务巨头报告了此问题之后，亚马逊便推出了针对此漏洞的修复程序。
　　亚马逊发言人在一份声明中说：“我们将设备的安全放在首位，感谢Check Point等独立研究人员的工作，这些工作给我们带来了潜在的问题。我们在解决此问题后不久便解决了此问题。关注，我们将继续进一步加强我们的系统。我们不知道有任何情况会针对我们的客户使用此漏洞或暴露任何客户信息。”
　　如Check Point所述，Amazon不会存储银行登录等敏感的财务信息，但会记录您的所有语音操作。而且，猜猜是什么...黑客也可以通过这些漏洞访问您的Alexa语音历史记录。默认情况下，虚拟助手基本上会记录并存档激活Alexa的设备时您所说的一切。这意味着您可访问的个人信息可以扩展到您告诉Alexa的任何内容，或者您​​在Alexa启用时所说的所有内容。您可以使用家庭住址，用户名，电话号码命名-所有这些都可以访问。
　　今年早些时候在2020年国际消费电子展上，亚马逊宣布Alexa支持“亿万”设备，包括公司的Echo扬声器，Fire平板电脑和流媒体设备，更不用说支持虚拟助手的第三方产品了。
　　这是黑客的数亿潜在目标。
　　Check Point产品漏洞研究负责人Oded Vanunu在一份声明中说：“智能扬声器和虚拟助手非常普遍，很容易忽略它们拥有多少个人数据，以及它们在控制我们家中其他智能设备中的作用。”“但黑客将它们视为人们生活的切入点，使他们有机会在所有者不知情的情况下访问数据，窃听对话或进行其他恶意行为。”
　　安全研究人员长期以来一直警告科技公司和消费者有关安全漏洞关于Alexa等虚拟助手。去年10月，德国的白帽黑客发现Google和Amazon都批准了可窃听其用户的Alexa和Google Home应用。亚马逊也面临审查用于以前向某些员工提供对这些Alexa录音的访问权限。
　　Vanunu说：“鉴于Alexa遍及并连接到IoT设备，我们已经关注了一段时间。”他指的是使用虚拟助手来控制日常家用物品以及恒温器和照明设备等“物联网”设备。这些大型数字平台对我们的伤害最大。因此，它们的安全级别至关重要。”