窃听应用竟能通过安全审核：智能音箱变“间谍”，黑客钓鱼盗密码，谷歌亚马逊都中招

转载2019-10-21 20:31作者: 量子位

摘要编者按：本文来自微信公众号“量子位”（ID：QbitAI），作者鱼羊，经授权发布。

来自智能音箱的威胁，不只局限于官方对录音的收集了。

通过亚马逊Alexa和Google Home安全验证的第三方应用程序，现在被证实可以在暗中窃听用户并窃取用户密码。

最近，德国安全研究实验室（SRLabs）公布了他们针对智能音箱黑客攻击方案的研究。

SRLabs的白帽黑客开发了八个应用程序，它们被伪装成星座运势查询应用和随机数生成器，但事实上，它们都是“秘密间谍”，能暗中偷听用户对话并窃取用户密码。

无一例外，它们都通过了亚马逊和Google的安全审查，堂而皇之地登上了应用商店。

SRLabs的高级安全顾问Fabian Bräunlein表示：

秘密间谍

无论是亚马逊的Alexa还是谷歌的Google Home，都允许第三方开发人员访问用户的语音输入。比如一个星座运势查询应用，用户可以通过“Alexa，打开‘我的星座’”这样的特定短语来调用应用程序。

通过标准的开发接口，研究人员们发现，他们完全可以通过两种方式来窃取用户隐私，还不会被亚马逊和谷歌抓包：

以“随机数生成器”为例，在Google Home回复了用户的询问，说了“goodbye”并响起结束提示音之后，上面的恶意应用并没有真的跟你再见。相反，它还在持续记录着设备声音范围内的所有对话，并把这些记录通通发送给黑客。

而在另一个“星座运势查询应用”中，当你询问应用程序“今天的幸运星座是什么呀”，它会假装回答“你所在的国家不在服务区”，然后它就关闭了，并不！在沉默一两分钟后，它会伪装成Alexa或Google Home本体，声称设备更新可用，提示你输入密码！

也就是说，黑客完全可以在亚马逊和谷歌的眼皮子底下，操纵“停止”和“启动”命令，蒙蔽用户，在用户完全不知道的情况下，监听你，记录你。

目前，SRLabs已经向亚马逊和谷歌报告了这一研究结果。两家公司已经删除了这几个应用程序，并表示他们正在加强审核流程，以避免真正的居心险恶者利用这些规则漏洞。

亚马逊回应称：

谷歌也表示：

据悉，谷歌正在对智能音箱上的所有第三方应用进行审查。

谷歌和亚马逊均在声明中提到：智能音箱绝不会要求用户提供帐户密码。

这已经不是智能音箱等智能语音设备第一次翻车了。

今年4月，亚马逊就被曝出其智能语音助手Alexa和用户的对话都被记录了下来，亚马逊的员工还会听到这些录音，以开发新的服务。

谷歌语音助手Assistant和苹果Siri也都在此前被爆料，与用户的沟通录音会被送往外包公司，录音没有脱敏，完全可以通过其内容辨别出用户地址、感情生活等隐私信息。

这回，还不只是官方，黑客也能来插一脚了。

现在，智能设备已经渗入了人们生活的方方面面，它们功能强大，却也漏洞多多。

就像SRLabs所说，用户应该意识到危险性，在使用新的语音应用程序时更加谨慎。但更重要的是，AI语音助手厂商们，应该更加注重安全问题，采取更强大的保护措施，来保障用户的隐私安全。

转载声明转载声明：本文系后花园转载发布，仅代表原作者或原平台态度，不代表我方观点。后花园仅提供信息发布平台，文章或有适当删改。对转载有异议和删稿要求的原著方，可联络[email protected]