Amazon Alexaに個人情報を取得できる脆弱性

　セキュリティ企業のCheck Point Researchは13日、Amazonの音声アシスタントAlexaに個人情報などを取得できてしまう脆弱性が存在するとし、警告を促した。

　Check Pointによれば、特定のAmazonとAlexaのサブドメインにおいて、オリジン間のリソース共有(CORS)に設定ミスがあり、クロスサイトスクリプティング(XSS)に対して脆弱性があるという。攻撃者がXSSを使用してCSRFトークンを取得すれば、被害者に代わってアクションを実行可能となる。

　具体的には、よく知られているFrida SSLユニバーサルアンピンニングスクリプトを使い、Alexaのトラフィックを調査したところ、いくつかのリクエストにおいてCORSポリシーの設定が誤っており、Amazonのどのサブドメインに対してもAjaxリクエストを送信可能であった。攻撃者はコードインジェクションにより、1つのAmazonのサブドメインからもう1つのサブドメインまでのクロスドメイン攻撃できる。

　攻撃するためには、特別に作成したAmazonのリンクをユーザーにクリックさせる必要があるが、いったん成功すれば、スキルリストを取得したり、インストールされているスキルをユーザーが知らないあいだに削除したり、音声履歴を取得したり、被害者の住所やプロファイルとして保持しているそのほかの情報などを取得したりできる。

　Check Point Researchは攻撃の防御方法について明らかにしていないが、IoTデバイスは本質的に脆弱であり、依然として十分なセキュリティを欠いているため、サイバー攻撃の恰好なターゲットになりうるとしている。