セキュリティ研究者がAlexaがあなたをスパイすることを可能にする「スキル」を作成

bitFlyer ビットコインを始めるなら安心・安全な取引所で

あなたの家に常時接続されたマイクロフォンを備えたデバイスに関する最悪の恐怖を確認するニュースでは、セキュリティ研究者がアマゾンの人気ボイスアシスタントAlexaの「スキル」を作成し、デバイスが無期限に会話を盗聴できるようにしています。

Amazonがパッチを当てて以来、この脆弱性は、サイバーセキュリティ会社のCheckmarxによって発見された。会社のエキスパートは、「スキル」(アレクサのアプリケーションのためのアマゾンの言葉)を作成することができました。これは、犠牲者を秘密裏に記録し、マイクでキャッチされた会話全体を転記することができます。

セキュリティ研究者は、数学的問題を解決するために使用できる無害な計算機スキルで悪意のあるタスクを隠していました。スキルをインストールした犠牲者に知らずに、Alexaにアプリを使用するように依頼して攻撃を有効にします。

Alexaは、ユーザーが完了することを望むかもしれないコマンドをいつでも聞くことができるように設計されていますが、記録するサイクルは短くて甘いと思われます。Amazonサーバーと通信してコマンドを処理するAlexaが特定のプロンプトに応答して情報を読み返した後、セッションを終了するか、ユーザーに別のコマンドを要求し、セッションを一時的に開いたままにしておくことになっています。

ユーザーが電卓アプリを使用してセッションを開くと、そのコードは2番目のセッションを作成しますが、ユーザーにマイクロフォンがまだアクティブであることを知らせるためにAlexaからボーカルプロンプトを表示しません。それはスマートな話し手とのコミュニケーションが終わった後ずっと、Alexaがユーザーの会話を聞いて録音するのを長く保ちます。

セッションがまだ開いている状態で、デバイスはスキルによって、それがピックアップした会話を引き続き転記するように指示されます。その情報は収集され、記録され、スキルのメーカーに検索可能にされます。

犠牲者が自分のAlexaデバイスにスキルをダウンロードしてインストールするだけの犠牲を払う攻撃は、かなり重要な賞品を受け取ります.EchoまたはDotの青いライトはアクティブで点灯し、Alexaがまだ聞いていることを示します。犠牲者はそれに気づかない、または何も考えないかもしれないが、ユーザに対して疑念を抱かせる可能性がある。

Checkmarxによると、攻撃を可能にした脆弱性がAmazonに報告され、同社はすでに問題に対処するために取り組んできた。 Alexaは、ユーザーに警告することなくマイクをライブ状態に保つために悪質なスキルが使用するサイレントプロンプトを検出し、マイクが録音している通常よりも長いセッションをシャットダウンします。

アマゾンの広報担当者は、「お客様の信頼は私たちにとって重要であり、セキュリティとプライバシーを真剣に受け止めています」とギズモード氏は語った。 「この種のスキル行動を検出し、そのスキルを拒否したり抑制したりするための緩和策を講じています」

Alexa Skills Storeへの盗聴コードを可能にする抜け道を塞ぐことは、ユーザーが盗んだスパイ行為の被害に遭わないようにするための良いステップですが、Amazonの常時聴いているマイクロフォンにはまだ多くのセキュリティ問題があります。 AmazonはすでにAlexaからのデータを喜んで法執行機関に引き渡しており、常にそうするよう求めている。ハッカーがあなたの会話に耳を傾けることは、あなたの家のAlexaとのあなたの心配の中で最も少ないかもしれません。

スポンサーリンク

シェアする

フォローする

スポンサーリンク

Network-wide options by YD - Freelance Wordpress Developer