Amazon Alexa,通常称为“ Alexa”,是由Amazon开发的AI虚拟助手,能够进行语音交互,音乐播放,设置警报和其他任务,可作为家庭自动化系统智能控制设备。预计到2020年底会售出超过2亿个支持Alexa的设备。

综述

如今,虚拟助手已成为家用电器和设备控制器的桥梁入口,确保它的安全至关变得重要,保护用户隐私更是重中之重。研究发现,某些Amazon / Alexa子域易受跨域资源共享(CORS)配置错误和跨站点脚本攻击。

这些漏洞使攻击者能够:

1、在用户的Alexa帐户上静默安装应用skill

2、在用户的Alexa帐户中获取所有已安装skill列表

3、静默删除skill

4、获取受害者的语音记录

5、获取受害者的个人信息

受害目标只需单击一下攻击者特制的Amazon链接就会中招。

技术细节

使用Alexa移动应用skill进行测试,发现其通过SSL进行通信,通过使用Frida SSL绕过SSL Pinning分析流量,以明文形式查看流量。

查看流量时发现skill配置了错误的CORS策略,允许从任何其他Amazon子域发送Ajax请求,这可能允许攻击者在一个Amazon子域上代码注入,从而对另一个Amazon子域进行跨域攻击。

Request:

alex-1-e1597177402338.jpg

Response:

alex-2-e1597177427806.jpg

这些请求将返回Alexa上所有已安装的skill列表,并且还会在响应中发回CSRF令牌,如下所示:

alex-3-e1597177447773.jpg

可以使用此CSRF令牌在目标上执行操作,例如远程安装和启用新skill。

为使攻击成功,需要利用Amazon子域中的XSS漏洞,可以利用CSRF攻击和CORS错误配置,假冒受害者使用其Alexa帐户执行操作。

在以下对track.amazon.com的请求中,有两个参数:paginationToken和pageSize。

alex-4-e1597177469231.jpg

将pageSize更改为非数字字符,可在服务器端造成错误,并反馈到客户端,收到状态码500和一个JSON响应。 响应的内容类型是text/html,从而能够操纵参数来实现代码执行,如下所示:

alex-5-e1597177493823.jpg

现在可以使用此代码注入以受害人的凭据触发对Ajax的请求,发送至skillstore.amazon.com。

alex-6-1.png

上面的请求将所有cookie发送到skill-store.amazon.com,从响应中窃取了csrfToken,使用此csrfToken进行CSRF攻击,并在受害者的Alexa帐户静默安装。

以下是用于安装ID为B07KKJYFS9的skill的完整POC代码:

alex-7.png

该skil可从Alexa Skill商店获得:

alex-8-e1597176144636.jpg

受害者点击恶意链接,该skill即会添加到其Alexa帐户中:

alex-9-e1597176261323.jpg

攻击流程

攻击可以通过几种不同的方式进行:

1、用户点击恶意链接,将其定向到攻击者具有代码注入的amazon.com。
2、攻击者将带有用户Cookie的新Ajax请求发送到amazon.com/app/secure/your-skills-page,并在响应中获取Alexa帐户上所有已安装skill列表以及CSRF令牌。
3、攻击者使用CSRF令牌从上一步中收到的列表中删除一项常用skill。
4、攻击者安装与删除skill具有相同调用短语的skill。
5、用户尝试使用调用短语,触发攻击者skill。

攻击能力

获取skill列表

以下请求可使攻击者查看受害者整个skill列表:

alex-10-e1597176414726.jpg

静默删除已安装skill

以下请求使攻击者可以从受害者帐户中删除一项skill:

alex-11-e1597176831367.jpg

获取受害者语音历史记录

以下请求可以使攻击者通过Alexa获取受害者的语音记录,导致个人信息的暴露,例如银行数据历史记录。

alex-12.png

亚马逊不会记录银行登录凭据,但会记录用户互动,攻击者利用skill来访问受害者的互动并获取其数据历史记录。

alex-13.png

个人受害者的信息

以下请求可用于获取用户个人信息,例如家庭住址等。

alex-14-e1597177219801.jpg

总结

智能家居中经常会使用虚拟助手来控制物联网设备,例如灯,空调,吸尘器,电力和娱乐。在过去的十年中,它们越来越受欢迎,并在我们的日常生活中发挥重要作用,而且随着技术的发展,它们将变得更加普及。

但物联网设备天生就容易受到攻击,仍缺乏足够的安全性,网络罪犯一直在寻找破坏设备的新方法。本文提出了此类物联网设备桥梁方面的薄弱环节,必须时刻确保它们的安全,防止黑客渗透到智能家居中。

参考链接

https://research.checkpoint.com/2020/amazons-alexa-hacked/

本文作者:Kriston, 转自FreeBuf