安基網 首頁 資訊 安全報 查看內容

竊聽應用竟能通過安全審核!智能音箱變“間諜”,黑客釣魚盜密碼

2019-10-21 16:40| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 魚羊 發自 凹非寺量子位 報道 | 公眾號 QbitAI來自智能音箱的威脅,不只局限于官方對錄音的收集了。通過亞馬遜Alexa和Google Home安全驗證的第三方應用程序,現在被證實可以在暗中竊聽用戶并竊取用戶密碼。最近,德國安全研究實驗室(SRLabs)公布了他們針對智能音箱黑客攻擊方案的研究。SRLabs的白帽 ...

魚羊 發自 凹非寺量子位 報道 | 公眾號 QbitAI

來自智能音箱的威脅,不只局限于官方對錄音的收集了。

通過亞馬遜Alexa和Google Home安全驗證的第三方應用程序,現在被證實可以在暗中竊聽用戶并竊取用戶密碼。

最近,德國安全研究實驗室(SRLabs)公布了他們針對智能音箱黑客攻擊方案的研究。

SRLabs的白帽黑客開發了八個應用程序,它們被偽裝成星座運勢查詢應用和隨機數生成器,但事實上,它們都是“秘密間諜”,能暗中偷聽用戶對話并竊取用戶密碼。

無一例外,它們都通過了亞馬遜和Google的安全審查,堂而皇之地登上了應用商店。

SRLabs的高級安全顧問Fabian Brunlein表示:

這就意味著,不僅是制造商,黑客也可以濫用語音助手來侵犯用戶們的隱私。

秘密間諜

無論是亞馬遜的Alexa還是谷歌的Google Home,都允許第三方開發人員訪問用戶的語音輸入。比如一個星座運勢查詢應用,用戶可以通過“Alexa,打開‘我的星座’”這樣的特定短語來調用應用程序。

通過標準的開發接口,研究人員們發現,他們完全可以通過兩種方式來竊取用戶隱私,還不會被亞馬遜和谷歌抓包:

請求并收集包括用戶密碼在內的個人數據在用戶認為智能音箱已經停止收聽后繼續竊聽用戶以“隨機數生成器”為例,在Google Home回復了用戶的詢問,說了“goodbye”并響起結束提示音之后,上面的惡意應用并沒有真的跟你再見。相反,它還在持續記錄著設備聲音范圍內的所有對話,并把這些記錄通通發送給黑客。

而在另一個“星座運勢查詢應用”中,當你詢問應用程序“今天的幸運星座是什么呀”,它會假裝回答“你所在的國家不在服務區”,然后它就關閉了(劃掉),并不!在沉默一兩分鐘后,它會偽裝成Alexa或Google Home本體,聲稱設備更新可用,提示你輸入密碼!
也就是說,黑客完全可以在亞馬遜和谷歌的眼皮子底下,操縱“停止”和“啟動”命令,蒙蔽用戶,在用戶完全不知道的情況下,監聽你,記錄你。

官方回應

目前,SRLabs已經向亞馬遜和谷歌報告了這一研究結果。兩家公司已經刪除了這幾個應用程序,并表示他們正在加強審核流程,以避免真正的居心險惡者利用這些規則漏洞。

亞馬遜回應稱:

客戶的信任對我們很重要,我們會在第三方應用認證過程中進行安全審查。針對SRLabs發現的問題我們已經采取了預防和檢測措施,以防其再次發生。

谷歌也表示:

我們正在采取其他機制來防止將來再次發生這樣的問題。

據悉,谷歌正在對智能音箱上的所有第三方應用進行審查。

谷歌和亞馬遜均在聲明中提到:智能音箱絕不會要求用戶提供帳戶密碼。

One More Thing

這已經不是智能音箱等智能語音設備第一次翻車了。

今年4月,亞馬遜就被曝出其智能語音助手Alexa和用戶的對話都被記錄了下來,亞馬遜的員工還會聽到這些錄音,以開發新的服務。

谷歌語音助手Assistant和蘋果Siri也都在此前被爆料,與用戶的溝通錄音會被送往外包公司,錄音沒有脫敏,完全可以通過其內容辨別出用戶地址、感情生活等隱私信息。

這回,還不只是官方,黑客也能來插一腳了。

現在,智能設備已經滲入了人們生活的方方面面,它們功能強大,卻也漏洞多多。

就像SRLabs所說,用戶應該意識到危險性,在使用新的語音應用程序時更加謹慎。但更重要的是,AI語音助手廠商們,應該更加注重安全問題,采取更強大的保護措施,來保障用戶的隱私安全。

— 完 —



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:http://baijiahao.baidu.com/s?id=1647973945479808760

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧