Alexaに脆弱性、個人情報漏洩リスクが報告されていた【脆弱性はすでに修正済】

米Checkpoint Researchは、Alexaに脆弱性を発見、Amazonに対し個人情報漏洩リクスを6月に報告、修正されていたことを公表しました。
特定のAmazon / Alexaサブドメインがクロスオリジンリソースシェアリング(CORS)の設定ミスおよびクロスサイトスクリプティングに対して脆弱が発見されていた。
当社によればXSSを使用して、CSRFトークンを取得し、被害者に代わってアクションを実行することができました。
これらの脆弱性により、以下のリスクが指摘されていました(すでに脆弱性は修正済)

  • ユーザーのAlexaアカウントにスキル(アプリ)をサイレントインストールする
  • ユーザーのAlexaアカウントにインストールされているすべてのスキルのリストを取得する
  • インストールされているスキルをサイレントに削除する
  • Alexaで被害者の音声履歴を取得する
  • 被害者の個人情報を入手する

記事本文(英語)

この記事が良かったらシェア!