ช่องโหว่บน Web Application Amazon Alexa subdomain
ช่องโหว่บน Amazon Alexa virtual assistant อาจทำให้ผู้โจมตีเข้าถึงประวัติข้อมูลบัญชีธนาคาร และที่อยู่ด้วยการหลอกล่อให้คลิ๊ก malicious link เพียงครั้งเดียว
นักวิจัยได้ค้นพบหลายช่องโหว่บน Web Application Amazon Alexa subdomain นั่นก็คือช่องโหว่ Cross-Site-Scripting (XSS) และ Cross-Origin Resource Sharing (CORS) misconfiguration ทำให้ผู้โจมตีสามารถ remote exploit ช่องโหว่เหล่านี้ด้วยการสร้าง malicious Amazon link ขึ้นมา
“งานวิจัยเหล่านี้ได้เน้นย้ำให้เห็นถึงความปลอดภัยบนอุปกรณ์ว่ามีความสำคัญมากน้อยแค่ไหนต่อข้อมูลส่วนตัวของผู้ใช้งาน” กล่าวโดย Oded Vanunu หัวหน้าฝ่ายวิจัยช่องโหว่ เนื่องจากมีอุปกรณ์มากมายที่เชื่อมต่ออยู่กับอุปกรณ์ IoT ซึ่งมันคือ Platforms ขนาดใหญ่ที่มีการเชื่อมต่อกันอย่างกว้างขวาง ดังนั้นสิ่งที่เกิดขึ้นกับ Alexa จึงทำให้เราตระหนักถึงระดับความปลอดภัยที่มีต่อผู้ใช้งานอุปกรณ์ IoT
ช่องโหว่นี้ถูกเผยออกมาเมื่อเดือนมิถุนายน 2020 และ Amazon และได้ออกมาประกาศแก้ไขข้อผิดพลาดนี้ พร้อมเผยถึงรายละเอียดข้อผิดพลาดที่เกิดขึ้นเมื่อวันพฤหัสที่ผ่านมาเป็นที่เรียบร้อย
อ้างอิง : https://threatpost.com/amazon-alexa-one-click-attack-can-divulge-personal-data/158297/
