語音助理本身是一種搜尋引擎,能夠幫助人們解決許多問題,用聲音搜尋資訊已經是日常必備功能,市面上已有很多產品如Alexa 或Google Assistant 語音控制功能的第三方智慧音響,愈來愈聰明的AI語音助理讓人們的生活變的更方便,市場研究機構eMarketer也預測,搭載AI語音助理的裝置,將從目前主流的手機與聲控喇叭,擴大到汽車、穿戴式裝置。
但是由於語音助理非常依賴網路,駭客也開始入侵這些設備,Check Point資安研究人員發現語音助理Amazon Alexa存在漏洞,可讓惡意人士操縱Alexa中的技能,或是存取使用者個人資料。資安研究人員提到,這個漏洞與Alexa網頁服務的幾個子網域有關,這些網域容易受到跨站腳本攻擊(XSS-即Cross Site Scripting)或是跨域請求攻擊(CSRF - Cross-site request forgery ) ,駭客從發送惡意連結給被害者開始,當被害者在Alexa網站上點擊了惡意連結,便會被重新導向track.amazon.com,駭客透過程式碼注入更改參數,使得伺服器端產生錯誤,接著駭客便可以發送帶有用戶Cookie的Ajax請求到amazon.com/app/secure/your-skills-page頁面中,獲取Alexa帳戶的資料,駭客還能夠存取聊天對話紀錄,因此能夠存取受害者與銀行技能互動的歷程,並取得使用者帳號以及電話,甚至可能還有家裡住址和更多其他資訊。
當然要解決此問題,必須在網站主機上有WAF設備保護才能根本解決,但在使用者無法確保網站是否能作到如此嚴密的資安防護之下,只能自己提高警覺,不在上面隨便透露個人資訊,銀行資訊等等,使用這些3C裝置也要隨時注意安全性更新,才不會輕易掉入駭客的陷阱。
詳文請見ithome 原文新聞稿