Képzelje el, hogy az összes hétköznapi irodai feladatot - naptárkezelés, kellékrendelés, tárgyalók lefoglalása - kiszervezi Alexára, az Amazon hangvezérelt virtuális asszisztensére. Az Amazon új Alexa for Business-jével ez a fantázia valóra válhat, de potenciálisan a súlyos biztonsági kockázatok kárára - állítják egyes kiberbiztonsági kutatók. Gondolkodj, vállalati kémkedés és csapkodások.
Csütörtökön az Amazon bemutatta népszerű virtuális asszisztense, az Alexa új vállalati verzióját, amely az Amazon internetes hangszórójával, az Echo-val működik. Az Alexa for Business a telefonálástól kezdve a repülőtérre indulásig mindent meg tud csinálni.
William Caput fehér kalapos hacker azonban arra figyelmeztet, hogy az Alexa for Business potenciális biztonsági kockázatot jelent a vállalatok számára. Caput, aki penetrációs teszteket végez a vállalatoknál, szerinte mindig figyelő eszközök, mint pl intelligens tévék és virtuális asszisztensek, továbbítják az adatokat egy termék anyavállalatának, hogy felhasználják például adatbányászatra.
'Nagyon naivnak tűnik, ha egy vállalkozás fontolgatja az ilyesmi használatát, hacsak nincs kifejezett felhasználási politika, amely kimondja, hogy bizonyos típusú adatátvitel nem fog megtörténni' - mondja Caput. 'Mielőtt használná, szigorú feltörési teszteket szeretne végrehajtani, és meg kell találnia, hogy mit hallgatnak és mit küldenek.'
Amazon hallgat
Mivel az Alexa integrálható az informatikai eszközeihez, például a telefonokhoz és a naptárakhoz, Tim Fiddy, a Fidelis Security munkatársa szerint bizonyos adatok az Alexa infrastruktúrájában lesznek tárolva. Ez azt jelentheti, hogy a vállalat egyes adatait vagy az Amazon tárolja, vagy továbbítja az Amazon-nak.
Caput szerint az Amazon különösen arra ösztönöz, hogy meghallgassa és összegyűjtse azokat a kulcsszavakat, amelyek aztán felhasználhatók a célzott marketingben. A Wall Street Journa Azt jelentem, hogy az Amazon azt állítja, hogy az Echo hangszóró csak akkor küldi az adatokat a felhőbe, ha a felhasználók „felébresztik” az eszközt az „Alexa” nevével. De Caput szerint az Alexa for Business-t még nem tesztelte szigorúan a biztonsági közösség, és a lehetséges kockázatok, biztonsági rések és sebezhetőségek nem ismertek.
Vállalati kémkedés
A vállalatok vállalati kémkedést folytatnak annak érdekében, hogy elősegítsék az ügyleteket vagy előnyt szerezzenek a technológiai fejlődés terén, például a Uber-Waymo önvezető autós üzleti titok esete. Caput szerint a vezeték nélküli eszközök ideális eszközök e célra, mivel a csatlakoztatott eszközök minimális biztonsági protokollt tartalmaznak. 'Egy versenytárs feltörheti az eszközt' - mondja Caput. 'Nyilvánosan elérhető eszközökkel átvehetem a számítógép irányítását, és hozzáférhetek a webkamerájukhoz vagy egy vezeték nélküli hangszóróhoz.'
Kormányhackelés
hány éves Mary Bruce
Kockázat a kormányzati leskelődés is. - Megkérheti a Nemzetbiztonsági Ügynökséget, hogy meghallgassa - mondja Caput. - Megvan az egész biztonsági berendezés, amelyet Ed Snowden leplezett le - az eszközök indokolatlan kopogtatása.
Bár ezek a kockázatok paranoiásnak tűnhetnek, kibernetikus kutatóként Caput szerint a csatlakoztatott eszközök a vállalat biztonsági protokolljainak megsértésének kedvelt módjai. 'Ez nem összeesküvés-elmélet' - mondja. 'Láttam ilyen típusú feltöréseket, vagy magam is elvégeztem a tárgyak internetes eszközeivel.'
Rick McElroy azt javasolja, hogy a vállalatok végezzék el saját kockázatelemzésüket arra vonatkozóan, hogy érdemes-e egy új technológiát, például az Alexa for Business-et bevonni. „Ennek a technológiának az értéke meghaladja vagy ellensúlyozza a kockázatot?” - mondja McElroy, a Carbon Black kiberbiztonsági cég biztonsági stratégája. 'Ha a válasz' igen ', akkor összehangolt erőfeszítéseket kell tenni annak érdekében, hogy folyamatosan javítsák a frissítéseket, és oktassák az alkalmazottakat a kiberbiztonsági bevált gyakorlatokról.'
