캘린더 관리, 소모품 주문, 회의실 예약과 같은 일상적인 사무실 작업을 Amazon의 음성 인식 가상 비서 인 Alexa에게 아웃소싱한다고 상상해보십시오. Amazon의 새로운 Alexa for Business를 사용하면 이러한 환상이 실현 될 수 있지만 잠재적으로 심각한 보안 위험을 감수해야하는 일부 사이버 보안 연구원의 말을 들었습니다. 기업 스파이 활동과 해킹을 생각하십시오.
목요일에 Amazon은 Amazon의 인터넷 지원 스피커 인 Echo와 함께 작동하는 인기있는 가상 비서 Alexa의 새로운 엔터프라이즈 버전을 선보였습니다. Alexa for Business는 전화를 걸고 공항으로 출발해야하는시기를 파악하는 것까지 모든 것을 할 수 있습니다.
그러나 화이트 햇 해커 인 William Caput은 Alexa for Business가 기업에 잠재적 인 보안 위험이 될 수 있다고 경고합니다. 회사에 대한 침투 테스트를 수행하는 Caput은 다음과 같은 상시 청취 장치를 말합니다. 스마트 TV 가상 비서가 데이터 마이닝과 같은 작업에 사용하기 위해 제품의 모회사로 데이터를 다시 전송합니다.
Caput은 '특정 유형의 데이터 전송이 발생하지 않는다는 명시적인 사용 정책이없는 한 기업이 이와 같은 것을 사용하는 것을 고려하는 것은 매우 순진 해 보입니다. '사용하기 전에 엄격한 해킹 테스트를 수행하고 듣고있는 내용과 전송되는 내용을 파악하고 싶을 것입니다.'
Amazon Listening In
Alexa는 전화 및 달력과 같은 IT 자산과 통합 될 수 있기 때문에 Fidelis Security의 Tim Roddy는 일부 데이터가 Alexa의 인프라에 저장 될 것이라고 말합니다. 이는 일부 회사 데이터가 Amazon에 저장되거나 Amazon에 전송됨을 의미 할 수 있습니다.
Caput은 특히 아마존이 타겟 마케팅에 사용할 수있는 키워드를 듣고 수집 할 동기가 있다고 말합니다. 그만큼 월스트리트 저나 l 아마존은 사용자가 이름 인 'Alexa'를 사용하여 장치를 '깨우지'않으면 Echo 스피커가 데이터를 클라우드로 전송하지 않는다고 주장합니다. 그러나 Caput은 Alexa for Business가 아직 보안 커뮤니티에서 엄격한 테스트를 거치지 않았으며 잠재적 인 위험, 보안 허점 및 취약성은 알려지지 않았다고 말합니다.
기업 간첩
기업 스파이 활동을 수행하여 거래를 성사 시키거나 다음과 같은 기술 발전의 우위를 차지합니다. Uber-Waymo 자율 주행 차 영업 비밀 사건. Caput은 연결된 장치가 최소한의 보안 프로토콜을 갖기 때문에 무선 장치가 이러한 목적을 위해 활용하기에 이상적인 도구라고 말합니다. Caput은 '경쟁자가 장치를 해킹 할 수 있습니다. '나는 컴퓨터를 제어하고 공개적으로 사용 가능한 도구를 사용하여 웹 캠이나 무선 스피커에 액세스 할 수 있습니다.'
정부 해킹
렉시 톰슨은 레즈비언인가
정부 스누핑도 위험합니다. Caput은 '국가 안보국이 청취하도록 할 수 있습니다. '당신은 에드 스노우 든이 발견 한 모든 보안 장치를 가지고 있습니다.
이러한 위험은 편집증처럼 들릴 수 있지만 사이버 연구원으로서 Caput은 연결된 장치가 회사의 보안 프로토콜을 위반하는 데 선호되는 방법이라고 말합니다. '음모 이론이 아닙니다. '이러한 유형의 해킹을 본 적이 있거나 사물 인터넷 장치로 직접 해본 적이 있습니다.'
Rick McElroy는 기업이 Alexa for Business와 같은 새로운 기술을 접목 할 가치가 있는지 여부에 대해 자체 위험 분석을 수행 할 것을 제안합니다. 사이버 보안 회사 인 Carbon Black의 보안 전략가 인 McElroy는``이 기술의 가치가 위험을 능가하거나 상쇄합니까? '답이'예 '이면 업데이트가있을 때 지속적으로 패치를 적용하고 직원들에게 사이버 보안 모범 사례를 교육하기 위해 공동으로 노력해야합니다.'
