智能音箱Amazon Alexa和谷歌Home通过语音命令为用户打开了一个方便的世界。
然而,这些设备也会使这些用户容易受到一系列的攻击隐私问题特别是当涉及第三方开发人员时。
Alexa,谷歌Home成为“智能间谍”
根据根据德国安全研究实验室的一份报告,他们实验室的研究人员发现了亚马逊Alexa和谷歌Home的两种可能的黑客场景。由于这些设备存在缺陷,黑客可以窃听用户的信息,并通过网络钓鱼获取敏感信息,基本上把扬声器变成了“智能间谍”。
SRLabs高级安全顾问Fabian Bräunlein表示:“很明显,这些语音助手会涉及隐私问题——谷歌和亚马逊会接收你的语音,有时这可能会被意外触发。”解释Ars Tec万博体育登录首页hnica。“我们现在证明,不仅是制造商,而且……黑客还可以滥用这些语音助手来侵犯别人的隐私。”
找出弱点聪明的演讲者SRLabs的研究人员为Alexa开发了四个应用程序,为谷歌Home开发了四个应用程序,所有这些应用程序都通过了两家公司的安全审查流程。这些应用程序中有7个是简单的星座应用程序,一个是随机数生成器。
这些应用程序是如何监视用户的
所有8个恶意应用程序都遵循了类似的路径,首先是用户通过请求应用程序相关的操作来触发它,比如他们的星座。旨在窃听用户的应用程序会回应他们所要求的信息,而网络钓鱼应用程序则会提供虚假的错误信息。
之后,这些应用程序似乎停止了运行,而实际上它们正在为下一步的攻击做准备。的窃听程序要么是静音,因为任务已经完成,要么是用户给了“停止”命令来终止应用程序。用户不知道的是,应用程序正在无声地记录他们的对话,并将一份副本发送到应用程序开发人员设计的服务器。
与此同时,网络钓鱼应用程序会给出一个虚假的错误信息,然后似乎停止运行。大约一分钟后,这些应用程序用一种模仿Alexa和谷歌Home使用的声音“说话”,声称设备更新可用,并要求用户输入安装更新的密码。
这八款应用程序都以类似的方式隐藏了它们的恶意行为,首先是在说话者试图说“-”字时,利用说话者文本语音引擎的缺陷。这个难以发音的字符促使说话者在应用程序仍在运行时保持沉默,这让应用程序看起来已经关闭了。
这些应用程序还使用了祈愿短语,比如“我的幸运星座”或“给我星座运势”。当应用程序得到亚马逊和谷歌的批准后,开发人员改变了最初的意图,赋予这些短语新的功能。
为了让恶意应用程序成功实施“智能间谍”,用户甚至不需要下载任何东西。
这些应用程序已经下架,两家公司都在改进审核流程,以防止类似应用程序进入他们的商店。然而,该报告显示,这些智能扬声器系统有多么容易受到操纵。