Amazon の Alexa に多数の脆弱性が明らかになり、Apple のようなスマート ホーム プラットフォームのプロバイダーの必要性が浮き彫りになっています。ホームキット、サービスの一環としてセキュリティを維持するため。

スマートホームの概念は魅力的ですが、仮想アシスタントを配置して家事を自動化するという夢は、ひとたびセキュリティ問題が表面化すると悪夢となります。多くの人々のスマートホーム設定の中心となっている Amazon の Alexa の場合、攻撃者がタスクを実行したり、ユーザーが Alexa に何を言ったかを知ることを可能にする脆弱性が明らかになり、問題はその後修正されています。

報告Check Point Security の研究者らは、多くの Amazon と Alexa のサブドメインがクロスオリジン リソース シェアリング (CORS) の構成ミスとクロス サイト スクリプティング (XSS) に対して脆弱であることを明らかにしました。 XSS を使用すると、攻撃者は CSRF トークンを取得し、スマート ホーム インストールの要素にアクセスできるようになります。

研究者らによると、これらには、ユーザーが知らない間にAlexaスキルを自動的にインストールすること、インストールされているすべてのスキルのリストを取得すること、インストールされているスキルをサイレントに削除すること、被害者のAlexaでの音声履歴を取得すること、さらには個人情報を取得することも含まれる可能性があるという。

このスキル操作により、既存のスキルの修正バージョンがインストールされてユーザーが使用できるようになり、攻撃者によるアクションの実行や、ユーザーからのデータのさらなる取得が可能になる可能性があります。攻撃者が近くでの会話を盗聴するスキルをインストールすることも可能でした。エコー装置

盗聴は可能でしたが、聞いていると Echo デバイスの青いライト インジケーターが点灯するため、ユーザーは何か不都合な情報を漏らす可能性がありました。

ユーザーは通常、次の方法で自分の音声履歴を監視および削除できます。Alexaのプライバシー設定ページ、またはAlexaアプリから。ユーザーは、「アレクサ、今言ったことを削除して」または「アレクサ、今日言ったことをすべて削除して」と言うことで記録を消去することもでき、自動削除オプションを使用すると、3 か月または 18 か月経過したデータを消去できます。

被害者が Amazon リンクを 1 回クリックするだけで脆弱性の悪用が成功したと主張されています。

チェック・ポイントは、2020 年 6 月に責任を持ってこの脆弱性を Amazon に開示し、問題は修正されました。

「モノのインターネットデバイスは本質的に脆弱であり、依然として適切なセキュリティが不足しているため、脅威アクターにとって魅力的な標的となっている」とCheck Pointは書いている。 「サイバー犯罪者は、デバイスを侵害したり、デバイスを使用して他の重要なシステムに感染したりするための新しい方法を絶えず探しています。この調査では、そのような IoT 機器へのブリッジが何かという弱点が明らかになりました。ブリッジとデバイスの両方がエントリ ポイントとして機能します。彼らは、次のような役割を果たします。ハッカーがスマートホームに侵入するのを防ぐために、常にセキュリティを確保してください。」

アマゾンの広報担当者は「当社のデバイスのセキュリティは最優先事項であり、潜在的な問題をもたらしてくれるチェック・ポイントのような独立系研究者の取り組みに感謝している」と述べた。 「この問題が報告されてからすぐに修正し、引き続きシステムの強化を続けています。この脆弱性が当社の顧客に対して悪用されたり、顧客情報が漏洩したりした例は認識していません。」

Amazonは過去に、自社のスマートホームプラットフォームのセキュリティとプライバシーの問題で論争を巻き起こしたことがある。 2019 年、Amazon の従業員が次のようなメッセージを聞いていたことが判明しました。音声録音精度を向上させるために Echo デバイスからのデータを追加することができましたが、同じ年の後半に研究者は追加することができました。スパイアプリAlexa と Google Home のアプリ ストアにアクセスすると、盗聴やフィッシングが可能になります。

Apple は独自の HomeKit スマート ホーム プラットフォームを運用していますが、各要素を可能な限り安全に保つよう取り組んでいます。これには、暗号化の広範な使用のほか、新しい HomeKit 互換デバイスがプラットフォーム上で機能するために遵守する必要がある要件と制限の長いリストが含まれます。

アップデート:8 月 18 日: Amazon の声明と軽微な変更を更新しました。