Amazon Alexaで、ユーザーが知らないうちに音声を録音できる、スパイスキルを開発できる問題が判明!

0
2822

セキュリティ研究者は、アマゾンのボイスアシスタントAlexaが、Amazon Echoを本格的なスパイデバイスに変えることができる、新しい悪意ある「スキル」を開発しました。

Amazon Echoは常に音を聞き取る音声起動型のスマートホームスピーカーで、音楽の再生、アラームの設定、質問への回答など、声を使って作業を完了させることができます。



Amazon Alexaで、ユーザーが知らないうちに音声を録音できる、スパイスキルを発見

ただし、デバイスは常にアクティブになっているわけではありません。ユーザーが “Alexa”と言うまで眠っている状態になります。デフォルトでは、一定の時間が経過するとセッションが終了するようになっています。

Amazonはまた、Amazon Echo Show、Echo Dot、Amazon Tapを含む数百万の音声起動スマートデバイスに搭載されているAlexaのカスタム「スキル」アプリを、開発者が構築できるようになっています。

しかし、サイバーセキュリティ会社のCheckmarxのセキュリティ研究者は、デバイスが無期限に音声を録音し、ユーザーの会話を秘密裏に盗み出し、サードパーティに完全な記録を送信するように、Alexaの概念実証音声生成スキルを作成することに成功しました。


簡単な計算機に偽装された悪意のあるスキルは、ユーザーが「Alexa、open calculator」と言った直後、バックグラウンドで起動されます。

「計算機のスキルは初期化され、スキルに関連するAPI ラムダ関数は入力として起動要求を受け取る」と研究者は報告書で述べています。

ビデオデモでは、ユーザーが電卓アプリ(バックグラウンド)でセッションを一度開くと、マイクはアクティブなままで、第2のセッションも作成されることが判明しました。

設計上、Alexaはセッションを終了するか、セッションを開いたままにする別のコマンドをユーザーに求める必要があります。しかし、ハッキングにより、攻撃者は第2セッションをアクティブに保ちながらユーザーを偵察することができます。

幸運なことに、Echoデバイスの青いライトが長い間アクティブになるため、スパイスキルがバックグランドで起動中の場合、青いライトで気づくことができます。

Checkmarxはこの問題をAmazonに報告しました。Amazonは、サイレントプロンプトなど、公式ストアから悪意あるスキルを定期的にスキャンして問題をみつけ解決しているとコメントしています。