Alexa黑客授予攻击者访问Echo用户的智能家庭网络的权限

亚马逊(Amazon)的Alexa发现了一系列漏洞，突显出苹果(Apple)HomeKit等智能家居平台提供商有必要将安全作为服务的一部分来维护。

智能家居的概念很有吸引力，但一旦安全问题浮出水面，订购虚拟助手来自动化家务的梦想就变成了噩梦。以亚马逊的Alexa为例，它是许多人智能家居设置的核心，已经发现了一些漏洞，这些漏洞可能会让攻击者执行任务，并了解用户告诉Alexa的是什么。

Check Point Security研究人员的这份报告显示，亚马逊和Alexa的许多子域都容易受到跨域资源共享(CORS)错误配置和跨站点脚本(XSS)的攻击。通过使用XSS，攻击者将能够获取CSRF令牌，该令牌将为攻击者提供对智能家居安装元素的访问权限。

根据研究人员的说法，这些可能包括在用户不知情的情况下自动安装Alexa技能，获取所有已安装技能的列表，静默删除已安装的技能，获取受害者与Alexa的语音记录，甚至获取个人信息。

该技能操纵可以允许现有技能的修改版本被安装，然后由用户使用，该修改版本可以允许攻击者执行动作，或者允许进一步从用户获取数据。攻击者甚至有可能安装窃听Echo设备附近对话的技能。

据称，受害者只需点击一次亚马逊链接，就可以成功利用这些漏洞。

Check Point在2020年6月向亚马逊负责任地披露了这些漏洞，这些问题已经得到修复。

Check Point写道，物联网设备天生就很脆弱，而且仍然缺乏足够的安全性，这使得它们成为威胁行为者的诱人目标。网络犯罪分子不断地寻找新的方法来入侵设备，或利用它们感染其他关键系统。这项研究指出了通向这类物联网设备的桥梁的薄弱环节。桥接器和设备都充当入口点。它们必须始终保持安全，以防止黑客渗透到我们的智能家居中。

亚马逊过去曾因其智能家居平台的安全和隐私问题而招致争议。2019年，人们发现亚马逊的员工正在收听Echo设备的录音，以提高其准确性，而同年晚些时候，研究人员能够在Alexa和Google Home的应用商店中添加间谍应用，从而实现窃听和网络钓鱼。

虽然苹果确实运营着自己的HomeKit智能家居平台，但该公司确实致力于尽可能确保每个元素的安全。这包括加密的广泛使用，以及每个新的HomeKit兼容设备在该平台上运行必须遵守的一长串要求和限制。

AppleInsider与会员有合作关系，通过会员链接购买的产品可能会赚取佣金。这些合作关系不会影响我们的编辑内容。