「Alexa」に脆弱性、音声記録や個人情報など漏えいのおそれ--修正済み

　Check Pointは米国時間8月13日、Amazonの音声アシスタント「Alexa」のサブドメインに脆弱性があり、ユーザーデータの窃盗に悪用される可能性があるとの調査結果を公開した。

　ユーザー個人を特定できる情報や音声記録を盗まれる恐れがあるという。Alexaは「Echo」や「Echo Dot」などのデバイスに搭載されている。

　Check Pointによると、一部のサブドメインはオリジン間リソース共有（CORS）の設定不備やクロスサイトスクリプティング（XSS）攻撃の影響を受けやすいという。

　Check Pointは、最初にAlexaモバイルアプリを調べ始めたとき、トラフィックの調査を妨げるSSLの仕組みがあることに気付いた。だが、そこで使用されているスクリプトは、「Universal Android SSL Pinning Bypass with Frida」を利用してバイパス可能だった。

　これをきっかけに、アプリのCORSポリシーの設定不備が見つかり、AmazonのサブドメインからAjaxリクエストを送信できるようになった。

　サブドメインがコードインジェクションに対して脆弱な場合、XSS攻撃を仕掛けることが可能で、これは「track.amazon.com」および「skillsstore.amazon.com」を介して実行された。

　Check Pointによると、この脆弱性を突くには、被害者が不正なリンクをクリックするだけでいいという。フィッシングなどを通じてドメインにルーティングされ、コードインジェクション攻撃を受けたり、Amazon関連のクッキーを盗み取られたりするおそれがある。

　攻撃者はその後、これらのクッキーを利用してAmazonのスキルストアにAjaxリクエストを送信する。このリクエストが、被害者のAmazon Alexaアカウントにインストールされている全スキルのリストを送り返す。

　研究者らはXSS攻撃を仕掛けることで、クロスサイトリクエストフォージェリー（CSRF）トークンを取得することもできたことから、被害者になりすまして操作できた。Alexaスキルの削除やインストールも可能で、CSRFトークンを利用してスキルを削除した後、同じ呼び出しフレーズで起動する新しいスキルをインストールできるため、これによって「攻撃者のスキルが起動する」おそれがあると、研究チームは述べている。

　ユーザーの知らないうちにこの新しいスキルが起動すると、攻撃者は音声履歴にアクセスしたり、スキル間の情報のやり取りを悪用して個人情報を収集したりできてしまうおそれがある。

　Check Pointはテストの中で、理論上は電話番号、自宅住所、ユーザー名、銀行取引データの履歴を盗み出せることを発見した。

　Check Pointの研究チームは、この調査結果を公表しないまま6月にAmazonに伝えており、このセキュリティ問題はすでに修正されている。