「Alexa」に脆弱性、音声記録や個人情報など漏えいのおそれ--修正済み

Charlie Osborne (CNET News) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)2020年08月14日 10時35分

 Check Pointは米国時間8月13日、Amazonの音声アシスタント「Alexa」のサブドメインに脆弱性があり、ユーザーデータの窃盗に悪用される可能性があるとの調査結果を公開した。

 ユーザー個人を特定できる情報や音声記録を盗まれる恐れがあるという。Alexaは「Echo」や「Echo Dot」などのデバイスに搭載されている。

 Check Pointによると、一部のサブドメインはオリジン間リソース共有(CORS)の設定不備やクロスサイトスクリプティング(XSS)攻撃の影響を受けやすいという。

 Check Pointは、最初にAlexaモバイルアプリを調べ始めたとき、トラフィックの調査を妨げるSSLの仕組みがあることに気付いた。だが、そこで使用されているスクリプトは、「Universal Android SSL Pinning Bypass with Frida」を利用してバイパス可能だった。

 これをきっかけに、アプリのCORSポリシーの設定不備が見つかり、AmazonのサブドメインからAjaxリクエストを送信できるようになった。

 サブドメインがコードインジェクションに対して脆弱な場合、XSS攻撃を仕掛けることが可能で、これは「track.amazon.com」および「skillsstore.amazon.com」を介して実行された。

 Check Pointによると、この脆弱性を突くには、被害者が不正なリンクをクリックするだけでいいという。フィッシングなどを通じてドメインにルーティングされ、コードインジェクション攻撃を受けたり、Amazon関連のクッキーを盗み取られたりするおそれがある。

 攻撃者はその後、これらのクッキーを利用してAmazonのスキルストアにAjaxリクエストを送信する。このリクエストが、被害者のAmazon Alexaアカウントにインストールされている全スキルのリストを送り返す。

 研究者らはXSS攻撃を仕掛けることで、クロスサイトリクエストフォージェリー(CSRF)トークンを取得することもできたことから、被害者になりすまして操作できた。Alexaスキルの削除やインストールも可能で、CSRFトークンを利用してスキルを削除した後、同じ呼び出しフレーズで起動する新しいスキルをインストールできるため、これによって「攻撃者のスキルが起動する」おそれがあると、研究チームは述べている。

 ユーザーの知らないうちにこの新しいスキルが起動すると、攻撃者は音声履歴にアクセスしたり、スキル間の情報のやり取りを悪用して個人情報を収集したりできてしまうおそれがある。

 Check Pointはテストの中で、理論上は電話番号、自宅住所、ユーザー名、銀行取引データの履歴を盗み出せることを発見した。

 Check Pointの研究チームは、この調査結果を公表しないまま6月にAmazonに伝えており、このセキュリティ問題はすでに修正されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]