Amazon Alexa,通常称为“ Alexa”,是由Amazon开发的AI虚拟助手,能够进行语音交互,音乐播放,设置警报和其他任务,可作为家庭自动化系统智能控制设备。预计到2020年底会售出超过2亿个支持Alexa的设备。
综述
如今,虚拟助手已成为家用电器和设备控制器的桥梁入口,确保它的安全至关变得重要,保护用户隐私更是重中之重。研究发现,某些Amazon / Alexa子域易受跨域资源共享(CORS)配置错误和跨站点脚本攻击。
这些漏洞使攻击者能够:
1、在用户的Alexa帐户上静默安装应用skill
2、在用户的Alexa帐户中获取所有已安装skill列表
3、静默删除skill
4、获取受害者的语音记录
5、获取受害者的个人信息
受害目标只需单击一下攻击者特制的Amazon链接就会中招。
技术细节
使用Alexa移动应用skill进行测试,发现其通过SSL进行通信,通过使用Frida SSL绕过SSL Pinning分析流量,以明文形式查看流量。
查看流量时发现skill配置了错误的CORS策略,允许从任何其他Amazon子域发送Ajax请求,这可能允许攻击者在一个Amazon子域上代码注入,从而对另一个Amazon子域进行跨域攻击。
Request:
Response:
这些请求将返回Alexa上所有已安装的skill列表,并且还会在响应中发回CSRF令牌,如下所示:
可以使用此CSRF令牌在目标上执行操作,例如远程安装和启用新skill。
为使攻击成功,需要利用Amazon子域中的XSS漏洞,可以利用CSRF攻击和CORS错误配置,假冒受害者使用其Alexa帐户执行操作。
在以下对track.amazon.com的请求中,有两个参数:paginationToken和pageSize。
将pageSize更改为非数字字符,可在服务器端造成错误,并反馈到客户端,收到状态码500和一个JSON响应。响应的内容类型是text/html,从而能够操纵参数来实现代码执行,如下所示:
现在可以使用此代码注入以受害人的凭据触发对Ajax的请求,发送至skillstore.amazon.com。
上面的请求将所有cookie发送到skill-store.amazon.com,从响应中窃取了csrfToken,使用此csrfToken进行CSRF攻击,并在受害者的Alexa帐户静默安装。
以下是用于安装ID为B07KKJYFS9的skill的完整POC代码:
该skil可从Alexa Skill商店获得:
受害者点击恶意链接,该skill即会添加到其Alexa帐户中:
攻击流程
攻击可以通过几种不同的方式进行:
1、用户点击恶意链接,将其定向到攻击者具有代码注入的amazon.com。
2、攻击者将带有用户Cookie的新Ajax请求发送到amazon.com/app/secure/your-skills-page,并在响应中获取Alexa帐户上所有已安装skill列表以及CSRF令牌。
3、攻击者使用CSRF令牌从上一步中收到的列表中删除一项常用skill。
4、攻击者安装与删除skill具有相同调用短语的skill。
5、用户尝试使用调用短语,触发攻击者skill。
攻击能力
获取skill列表
以下请求可使攻击者查看受害者整个skill列表:
静默删除已安装skill
以下请求使攻击者可以从受害者帐户中删除一项skill:
获取受害者语音历史记录
以下请求可以使攻击者通过Alexa获取受害者的语音记录,导致个人信息的暴露,例如银行数据历史记录。
亚马逊不会记录银行登录凭据,但会记录用户互动,攻击者利用skill来访问受害者的互动并获取其数据历史记录。
个人受害者的信息
以下请求可用于获取用户个人信息,例如家庭住址等。
总结
智能家居中经常会使用虚拟助手来控制物联网设备,例如灯,空调,吸尘器,电力和娱乐。在过去的十年中,它们越来越受欢迎,并在我们的日常生活中发挥重要作用,而且随着技术的发展,它们将变得更加普及。
但物联网设备天生就容易受到攻击,仍缺乏足够的安全性,网络罪犯一直在寻找破坏设备的新方法。本文提出了此类物联网设备桥梁方面的薄弱环节,必须时刻确保它们的安全,防止黑客渗透到智能家居中。
参考链接
https://research.checkpoint.com/2020/amazons-alexa-hacked/
精彩推荐
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论