自動セキュリティコードレビューサービスを提供するCheckmarx社は、Amazon Echoに、ユーザーが気付かないうちに常時盗聴可能な欠陥があることを発見した。
Alexaは常に聞いています
通常、Echoは「常時オン」のリスニング機能を備えており、理論上は「アレクサ」という言葉を聞き取った場合にのみ完全に起動するはずです。ユーザーが「アレクサ」と話しかけると、デバイスはユーザーの発話内容を録音し、その音声情報を分析します。ユーザーが要求した情報を提供した後、リスニング機能はスタンバイ状態に戻り、ユーザーの音声録音を停止します。
しかし、Checkmarx の研究者が発見した欠陥により、ユーザーが悪意のあるアプリ (または「スキル」) を起動した後、悪意のある第三者がすべてを無期限に記録できる可能性があります。
このバグを悪用するには、ユーザーがデバイスから無音の応答を受け取った後もAlexaの録音セッションが継続していることを確認する必要がありました。また、悪意のある第三者にとって有用なデータとなるよう、録音された音声の書き起こしが正確であることも確認する必要がありました。
緩和策
Checkmarxの研究者たちはAmazonにこの脆弱性を開示し、Amazonのチームと緊密に協力してこの種の攻撃に対する対策を実装したと述べた。まずAmazonは、より厳格な基準でアプリを審査し、「盗聴」スキルを発見する。また、特定のスキルが空の再プロンプトを送信したり、セッションが通常よりも長くかかったりした場合に適切なアクションを実行するよう、Echoのコードも変更する。
Echo、Google Home、その他類似の常時接続型デバイスを購入する人が増えるにつれ、悪意のある者が同様の欠陥を狙うようになるため、盗聴のリスクが高まる可能性があります。また、FBIがAmazon Echoを容疑者の監視に利用することに強い関心を示し始めていることも分かっており、この関心は今後ますます高まるでしょう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
