Hãy tưởng tượng thuê ngoài tất cả các nhiệm vụ văn phòng đơn giản đó - quản lý lịch, đặt hàng, đặt phòng họp - cho Alexa, trợ lý ảo được kích hoạt bằng giọng nói của Amazon. Một số nhà nghiên cứu an ninh mạng cho biết với Alexa for Business mới của Amazon, điều tưởng tượng đó có thể trở thành hiện thực, nhưng có khả năng phải trả giá bằng những rủi ro bảo mật nghiêm trọng. Hãy suy nghĩ, gián điệp công ty và hack.
Vào thứ Năm, Amazon đã ra mắt phiên bản doanh nghiệp mới của trợ lý ảo Alexa phổ biến của mình, hoạt động với loa Echo hỗ trợ Internet của Amazon. Alexa for Business có thể làm mọi thứ, từ gọi điện thoại đến tìm thời điểm bạn nên đến sân bay.
Nhưng hacker mũ trắng William Caput cảnh báo rằng Alexa for Business là một nguy cơ bảo mật tiềm ẩn cho các công ty. Caput, người thực hiện các bài kiểm tra thâm nhập trên các công ty, cho biết các thiết bị luôn lắng nghe, chẳng hạn như TV thông minh và trợ lý ảo, truyền dữ liệu trở lại công ty mẹ của sản phẩm để được sử dụng cho những việc như khai thác dữ liệu.
Caput cho biết: “Có vẻ rất ngây thơ đối với một doanh nghiệp khi cân nhắc sử dụng thứ gì đó như thế này trừ khi có một chính sách sử dụng rõ ràng quy định một số kiểu truyền dữ liệu nhất định sẽ không xảy ra”. 'Trước khi sử dụng, bạn cần tiến hành thử nghiệm hack nghiêm ngặt và tìm ra những gì đang được lắng nghe và những gì đang được gửi đi.'
Amazon đang lắng nghe
Vì Alexa có thể được tích hợp với các tài sản CNTT của bạn như điện thoại và lịch, Tim Roddy của Fidelis Security nói rằng một số dữ liệu sẽ được lưu trữ trong cơ sở hạ tầng của Alexa. Điều này có thể có nghĩa là một số dữ liệu của công ty được lưu trữ hoặc được truyền đến Amazon.
Caput cho biết Amazon, đặc biệt, có động cơ để lắng nghe và thu thập các từ khóa sau đó có thể được sử dụng trong tiếp thị mục tiêu. Các Wall Street Journa Tôi báo cáo rằng Amazon tuyên bố loa Echo không gửi dữ liệu lên đám mây trừ khi người dùng 'đánh thức' thiết bị bằng cách sử dụng tên của nó - 'Alexa.' Tuy nhiên, Caput cho biết Alexa for Business vẫn chưa được kiểm tra nghiêm ngặt bởi cộng đồng bảo mật và các rủi ro tiềm ẩn, lỗ hổng bảo mật và lỗ hổng bảo mật vẫn chưa được biết.
Gián điệp công ty
Các công ty tiến hành hoạt động gián điệp của công ty để đạt được thỏa thuận hoặc lợi thế về tiến bộ công nghệ, như Uber-Waymo vụ bí mật kinh doanh ô tô tự lái. Caput cho biết các thiết bị không dây là công cụ lý tưởng để khai thác cho mục đích này, vì các thiết bị được kết nối có giao thức bảo mật tối thiểu. Caput nói: “Một đối thủ cạnh tranh có thể hack thiết bị. 'Tôi có thể kiểm soát máy tính và truy cập web cam hoặc loa không dây của họ bằng các công cụ có sẵn công khai.'
Chính phủ tấn công
Sự rình mò của chính phủ cũng là một rủi ro. Caput nói: “Bạn có thể nhờ Cơ quan An ninh Quốc gia lắng nghe. 'Bạn có toàn bộ bộ máy bảo mật mà Ed Snowden đã phát hiện ra - việc khai thác các thiết bị không cần bảo đảm.'
Mặc dù những rủi ro này nghe có vẻ hoang tưởng, nhưng với tư cách là một nhà nghiên cứu mạng, Caput cho biết các thiết bị được kết nối là một cách được ưa chuộng để vi phạm các giao thức bảo mật của công ty. Ông nói: “Đó không phải là thuyết âm mưu. 'Tôi đã thấy những kiểu hack này hoặc tôi đã tự thực hiện chúng bằng các thiết bị kết nối internet.'
Rick McElroy đề xuất rằng các công ty thực hiện phân tích rủi ro của riêng họ để xem liệu có đáng để đưa một công nghệ mới như Alexa for Business vào ứng dụng hay không. McElroy, chiến lược gia bảo mật tại Carbon Black, một công ty an ninh mạng, cho biết: “Giá trị của công nghệ này có lớn hơn hay bù đắp được rủi ro? 'Nếu câu trả lời là' có ', thì cần có một nỗ lực phối hợp để liên tục vá khi có các bản cập nhật cũng như giáo dục nhân viên về các phương pháp hay nhất về an ninh mạng. '
