亚马逊既出名又臭名昭著，它使用户只需单击一下就可以非常轻松地购买商品，甚至为此使用了“ 1-Click”按钮也是如此。但是，似乎可以毫不费力地折衷亚马逊最受欢迎的产品之一。其AI驱动的私人助理Alexa可以在许多智能扬声器和智能家居产品中找到，而它所要做的只是精心制作的无辜外观链接，黑客可以控制Alexa设备及其所有者的数据。

考虑到智能助手几乎总是与远程服务器通信以发挥其魔力，因此智能助手始终给他们带来大量的隐私和安全风险。即使在设备上执行语音识别，获取信息和控制其他设备之类的事情时，也几乎总是需要通过Internet进行通信。当用户想要安装新的应用或技能时，这一点甚至更多，这是此Alexa漏洞的发源地。

Check Point Research透露，亚马逊与Alexa相关的子域特别容易受到跨域资源共享(CORS)和跨站点脚本(XSS)的攻击。简而言之，这意味着只要Amazon的子域彼此通信以执行某些任务，黑客就能够提取一些重要的信息，例如一些令牌和ID。

研究人员的示例涉及单击精心伪装成Alexa技能安装程序的恶意链接。所要做的就是让不知情的用户单击该链接，远程服务器之间的一系列通信将产生数据，黑客可以使用这些数据将代码注入到Amazon的Alexa技能商店中，以访问用户的帐户。入侵者可以从那里安装或删除Alexa技能，甚至获取受害者的个人信息。

不幸的是，该帖子没有提到亚马逊是否已经采取措施来保护这些弱点。随着智能助手和智能扬声器的普及，至关重要的是，数据处理流程的每一步都应尽可能地安全。