Alexa, 해킹 당 했나요? 새로운 연구에서 Amazon의 가상 비서에서 주요 보안 결함 발견
사이버 보안 회사 인 Check Point 는 Amazon의 가상 비서 Alexa에 대한 최신 연구 를 발표했습니다 . 이 보고서는 해커가 귀하의 Alexa 계정 및 개인 데이터에 액세스 할 수 있도록 허용하는 주요 취약성을 자세히 설명합니다.
"우리의 조사 결과에 따르면 특정 Amazon / Alexa 하위 도메인이 CORS (Cross-Origin Resource Sharing) 잘못된 구성 및 Cross Site Scripting에 취약한 것으로 나타났습니다."라고 보고서를 읽었습니다. "XSS를 사용하여 CSRF 토큰을 얻고 피해자를 대신하여 조치를 수행 할 수있었습니다."
번역 :이 결함으로 인해 악의적 인 공격자는 합법적 인 뉴스 앱에서 해커가 귀하의 정보를 훔치기 위해 개발 한 악의적 인 기술에 이르기까지 모든 기술을 Alexa 계정에 설치 및 삭제할 수 있으며 이러한 기술을 통해 개인 정보를 얻을 수 있습니다. 어떤 종류의 개인 정보입니까? 정말 뭐든지 요.
Check Point가 언급했듯이 Amazon은 은행 로그인과 같은 민감한 금융 정보를 저장하지 않지만 모든 음성 작업은 녹음됩니다. 그리고 해커가 이러한 취약점을 통해 Alexa 음성 기록에 액세스했을 수도 있습니다. 기본적으로 가상 도우미는 기본적으로 Alexa 지원 장치가 활성화 될 때 말하는 모든 내용을 기록하고 보관합니다. 즉, 접근 가능한 개인 정보는 Alexa에게 말한 모든 것 또는 Alexa가 켜져있을 때 말한 모든 것으로 확장 될 수 있습니다. 집 주소, 사용자 이름, 전화 번호, 이름 등 모두 액세스 할 수 있습니다.
올해 초 CES 2020에서 Amazon 은 Alexa가 가상 비서를 지원하는 타사 제품은 물론 회사의 Echo 스피커, Fire 태블릿 및 스트리밍 장치를 포함하여 "수억 개"의 장치를 지원 한다고 발표 했습니다.
이는 해커의 잠재적 인 수억 개의 표적입니다.
“스마트 스피커와 가상 비서는 얼마나 많은 개인 데이터를 보유하고 있는지, 그리고 우리 가정의 다른 스마트 장치를 제어하는 역할을 간과하기 쉽습니다.”라고 Check Point 제품 취약점 연구 책임자 인 Oded Vanunu는 성명을 통해 말했습니다. "하지만 해커들은 그들을 사람들의 삶의 진입 점으로보고, 소유자가 알지 못하는 사이에 데이터에 액세스하고 대화를 도청하거나 기타 악의적 인 행동을 수행 할 수있는 기회를 제공합니다."
체크 포인트에 따르면 아마존은 회사가 전자 상거래 대기업에 문제를보고 한 후이 취약점에 대한 수정 사항을 발표했습니다.
보안 연구원은 Alexa와 같은 가상 비서에 관한 보안 결함 에 대해 기술 회사와 소비자에게 오랫동안 경고 해 왔습니다 . 작년 10 월 독일의 화이트 햇 해커 들은 구글과 아마존이 알렉사와 구글 홈을 위해 사용자를 도청 할 수있는 앱을 승인했다는 사실 을 발견 했습니다. Amazon은 또한 이전에 일부 직원에게 이러한 Alexa 녹음에 대한 액세스 권한을 제공하기 위해 조사 에 직면 했습니다.
Vanunu는 가상 비서를 사용하여 온도 조절기 및 조명과 같은 가전 제품과 일상 생활 용품을 제어하는 "사물 인터넷"장치를 언급하며 "Alexa는 IoT 장치의 편재성과 연결성을 고려할 때 한동안 우리를 염려했습니다."라고 말했습니다. “우리에게 가장 큰 피해를 줄 수있는 것은 바로 이러한 메가 디지털 플랫폼입니다. 따라서 보안 수준이 매우 중요합니다. "