Check Point安全研究人员发现了一系列漏洞，这些漏洞可能为针对亚马逊虚拟助手Alexa的各种攻击打开了大门。

这些攻击涉及在Amazon和Alexa子域上发现的跨域资源共享（CORS）错误配置和跨站点脚本（XSS）错误，最终使研究人员可以代表合法用户执行各种操作。

成功利用这些漏洞可能使攻击者能够检索Alexa用户的个人信息以及他们与Alexa的语音历史记录，还可以代表用户安装应用程序（技能），列出已安装的技能或删除它们。

Check Point的安全研究人员发布了一段演示该漏洞的视频，解释说：“成功利用该漏洞仅需单击攻击者特制的Amazon链接。”

为了进行攻击，对手需要创建一个恶意链接，该链接将用户定向到amazon.com，将其发送给受害者，然后诱使他们单击它。攻击者将需要在目标页面上注入代码。

接下来，攻击者将带有用户cookie的Ajax请求发送到amazon.com/app/secure/your-skills-page，这使他们可以检索受害者的Alexa帐户上安装的技能列表。

Check Point说，该响应还包含CSRF令牌，攻击者可以使用该CSRF令牌从列表中删除一项常用技能。然后，攻击者可以使用相同的调用短语来安装一项技能，从而导致用户触发了攻击者的技能，而不是原始技能。

安全研究人员指出，尽管亚马逊未记录银行登录凭据，但攻击者可以利用银行技能访问用户的交互并获取其数据历史记录。此外，还可以根据安装的技能来检索用户名和电话号码。

亚马逊已于2020年6月收到有关发现的漏洞的警报，并已予以解决。该公司已建立了安全机制，以防止恶意技能被发布到其商店。

“我们将设备的安全放在首位，感谢Check Point等独立研究人员的工作，这些工作给我们带来了潜在的问题。在引起我们注意后，我们已尽快修复此问题，我们将继续加强我们的系统我们不知道有任何情况可以利用此漏洞来对付我们的客户或暴露任何客户信息，”亚马逊发言人在一封电子邮件评论中告诉《证券周刊》。

Check Point总结道：“智能家居中使用虚拟助手来控制日常的IoT设备[…]。在过去的十年中，它们越来越受欢迎，并在我们的日常生活中发挥作用，而且随着技术的发展，它们将变得更加普及。对于希望窃取私人和敏感信息或破坏个人智能家庭环境的攻击者来说，这使虚拟助手成为有吸引力的目标。”

KnowBe4的安全意识倡导者Javvad Malik指出，这种依靠社会工程手段诱骗受害者访问链接的攻击可以通过安全培训来避免。

“从技术角度来看，随着设备的互联生态系统的发展，对于制造商来说，确保评估所有代码和访问权限不仅针对技术安全漏洞，而且还可以由犯罪分子绕过流程来泄露敏感信息，腐败行为变得越来越重要。数据，或者使它们不可用。”马利克说。

Webroot首席解决方案架构师Matt Aldridge在一封电子邮件评论中说：“ Amazon Echo和相关的Alexa语音助手服务等物联网设备的安全性是一个重要的问题。”

对这些设备的需求不断增长，要求制造商将重点放在其安全性和隐私性上。物联网制造商需要与网络安全专业人员更紧密地合作，以确保在设计阶段就考虑并理解设备安全性，而不是事后才实现。” Aldridge补充说。