Rogue Agent Flaw Could Have Let Attackers Hijack Google Dialogflow CX Chatbots
Google Dialogflow CX의 심각한 결함이 공격자에 의해 챗봇을 해킹할 수 있는 가능성이 나타났다.
Google의 Dialogflow CX에서 심각한 결함이 발견되었다. 이 결함은 공격자가 Code Block을 사용한 에이전트에 대한 편집 권한을 가지고 있다면 동일한 Google Cloud 프로젝트 내의 다른 에이전트들을 손상시킬 수 있게 한다. 공격자는 실시간 대화를 읽고, 사용자 데이터를 훔치거나 챗봇에 공격자가 작성한 메시지를 전송하게 할 수 있다. 이 취약점은 보안 회사인 Varonis에 의해 발견되었다.
A critical flaw in Google Dialogflow CX could allow attackers to hijack chatbots.
A serious flaw in Google's Dialogflow CX has been identified. This vulnerability would allow an attacker with edit rights on one Code Block-enabled agent to compromise other agents within the same Google Cloud project. From there, attackers could read live conversations, steal user data, and make the bots send messages written by the attacker. The vulnerability was discovered by the security firm Varonis.