Neuseeland
Deutsch
Teilen

窃听应用竟能通过安全审核:智能音箱变“间谍”,黑客钓鱼盗密码,谷歌亚马逊都中招

转载Autor: 量子位
窃听应用竟能通过安全审核:智能音箱变“间谍”,黑客钓鱼盗密码,谷歌亚马逊都中招
Zusammenfassung编者按:本文来自微信公众号“量子位”(ID:QbitAI),作者鱼羊,经授权发布。

来自智能音箱的威胁,不只局限于官方对录音的收集了。

通过亚马逊Alexa和Google Home安全验证的第三方应用程序,现在被证实可以在暗中窃听用户并窃取用户密码。

最近,德国安全研究实验室(SRLabs)公布了他们针对智能音箱黑客攻击方案的研究。

SRLabs的白帽黑客开发了八个应用程序,它们被伪装成星座运势查询应用和随机数生成器,但事实上,它们都是“秘密间谍”,能暗中偷听用户对话并窃取用户密码。

无一例外,它们都通过了亚马逊和Google的安全审查,堂而皇之地登上了应用商店。

SRLabs的高级安全顾问Fabian Bräunlein表示:

秘密间谍

无论是亚马逊的Alexa还是谷歌的Google Home,都允许第三方开发人员访问用户的语音输入。比如一个星座运势查询应用,用户可以通过“Alexa,打开‘我的星座’”这样的特定短语来调用应用程序。

通过标准的开发接口,研究人员们发现,他们完全可以通过两种方式来窃取用户隐私,还不会被亚马逊和谷歌抓包:

以“随机数生成器”为例,在Google Home回复了用户的询问,说了“goodbye”并响起结束提示音之后,上面的恶意应用并没有真的跟你再见。相反,它还在持续记录着设备声音范围内的所有对话,并把这些记录通通发送给黑客。

hougarden

而在另一个“星座运势查询应用”中,当你询问应用程序“今天的幸运星座是什么呀”,它会假装回答“你所在的国家不在服务区”,然后它就关闭了,并不!在沉默一两分钟后,它会伪装成Alexa或Google Home本体,声称设备更新可用,提示你输入密码!

hougarden

hougarden

也就是说,黑客完全可以在亚马逊和谷歌的眼皮子底下,操纵“停止”和“启动”命令,蒙蔽用户,在用户完全不知道的情况下,监听你,记录你。

官方回应

目前,SRLabs已经向亚马逊和谷歌报告了这一研究结果。两家公司已经删除了这几个应用程序,并表示他们正在加强审核流程,以避免真正的居心险恶者利用这些规则漏洞。

亚马逊回应称:

谷歌也表示:

据悉,谷歌正在对智能音箱上的所有第三方应用进行审查。

谷歌和亚马逊均在声明中提到:智能音箱绝不会要求用户提供帐户密码。

One More Thing

这已经不是智能音箱等智能语音设备第一次翻车了。

今年4月,亚马逊就被曝出其智能语音助手Alexa和用户的对话都被记录了下来,亚马逊的员工还会听到这些录音,以开发新的服务。

谷歌语音助手Assistant和苹果Siri也都在此前被爆料,与用户的沟通录音会被送往外包公司,录音没有脱敏,完全可以通过其内容辨别出用户地址、感情生活等隐私信息。

这回,还不只是官方,黑客也能来插一脚了。

hougarden

现在,智能设备已经渗入了人们生活的方方面面,它们功能强大,却也漏洞多多。

就像SRLabs所说,用户应该意识到危险性,在使用新的语音应用程序时更加谨慎。但更重要的是,AI语音助手厂商们,应该更加注重安全问题,采取更强大的保护措施,来保障用户的隐私安全。


转载声明转载声明:本文系后花园转载发布,仅代表原作者或原平台态度,不代表我方观点。后花园仅提供信息发布平台,文章或有适当删改。对转载有异议和删稿要求的原著方,可联络[email protected]