安基網 首頁 資訊 安全報 查看內容

SRLabs發現智能揚聲器新漏洞 或變身監聽用戶的間諜設備

2019-10-22 10:50| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: SRLabs 的安全分析師,找到了一種利用 Google 和 Amazon 智能揚聲器進行網絡釣魚和竊聽用戶的新漏洞。之后其上傳了看似無害的 Alexa Skills 和 Google Actions 自定義操作技能,以測試該漏洞是否會輕易得逞。由視頻演示可知,一位 SRLabs 研究人員向 Google Home 索要了一個隨機數,由其產生并發出聲音 ...

SRLabs 的安全分析師,找到了一種利用 Google 和 Amazon 智能揚聲器進行網絡釣魚和竊聽用戶的新漏洞。之后其上傳了看似無害的 Alexa Skills 和 Google Actions 自定義操作技能,以測試該漏洞是否會輕易得逞。由視頻演示可知,一位 SRLabs 研究人員向 Google Home 索要了一個隨機數,由其產生并發出聲音。

(圖自:SRLabs,via TechSpot)

可即便 Actions 已執行完成,程序仍保持后臺監聽的狀態。之后,第三方計算機收到了用戶所述內容的抄錄。

至于 Alexa,安全分析師也創建了一個簡單的“星座技巧”,要求 Alexa 對其進行“幸運解讀”。

Alexa 會詢問用戶的十二星座,之后開始監聽相關的星座運勢讀數、同時麥克風一直在后臺保持監聽。

即便被告知停止操作,Alexa 仍會繼續監聽房間內發出的聲音,并將其發送至接收端的軟件。

此外,研究人員還能夠讓講述人發出虛假的錯誤信息。比如在一分鐘后發出另一個偽造的錯誤,誘騙用戶自曝賬號密碼。

Smart Spies_ Amazon Alexa Eavesdropping(via)

事實上,SRLabs 至始至終都在利用同一個漏洞。該缺陷使得他們能夠持續地向智能揚聲器提供無法言語的一系列字符(U+D801、點、空格)。

如此一來,即便設備保持著‘靜音’的狀態,‘算法’也能夠維持對用戶展開監聽的信道的暢通。

鑒于谷歌和亞馬遜不會對安裝在其智能揚聲器上的軟件技能展開仔細的檢查,惡意團體或輕易將間諜軟件添加到應用程序的補丁中,而無需另行通知。

周一的時候,SRLabs 安全分析師決定將漏洞公之于眾。但在此之前,其已經向兩家公司提出過警告。此外,SRLabs 向 YouTube 上傳了一段視頻,以展示該漏洞對智能揚聲器用戶造成的安全隱患。

目前尚沒有任何證據表明除 SRLabs 研究團隊意外的任何人在使用相關漏洞,不過亞馬遜已經實施了相應的對策來檢測和防止對 Alexa 技能的濫用。

至于谷歌,該公司也表示更新了審查程序,以揪出這類行為,并移除任何有違操作準則的 Actions 。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6750437710919369230/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧