人们期望他们的虚拟助手是离散的,这就是为什么具有Alexa,Google Home和其他辅助技术的设备在录制时应该清楚地说明其原因。但是ZDNet昨天报道说,黑客仍然可以利用Alexa和Google Home中的漏洞将其用作秘密监视工具。
所涉及的漏洞仅要求应用程序开发人员发布恶意更新,这些更新会在响应用户查询时插入较长的“。”字符序列,从而允许长时间的沉默,从而使设备读取该字符,并使麦克风保持活动状态。然后,有人可以使用这些麦克风窃听Alexa和Google Home用户。
攻击者可以使自己的恶意应用程序冒充亚马逊或Google,并告诉人们共享其帐户凭据,从而进一步登录自己的服务,从而进一步向前迈进。两种设备都无法正常运行,但是毫无戒心的用户可能不会三思而后行地破坏其帐户安全性。
这些设备从技术上讲会公开其活动麦克风的状态灯,因此观察者可能会注意到情况正在发生变化。但是人们很可能会完全错过或忽略光线。这些设备吸引人的部分原因是能够在不中断当前任务的情况下跨房间发出命令。不得不凝视状态灯并不能说明人们使用这些产品的原因。
研究人员在整个2018年期间都披露了Alexa和Google Home中的类似漏洞。安全公司SRLabs今年初发现了它们的继续存在。据报道,该公司已将这一问题告诉了亚马逊和谷歌,但是,尽管SRLabs告诉ZDNet,“发现并禁止诸如长时间停顿之类的意料之外的行为应该相对简单”,但这一问题仍未得到解决。
SRLabs表示亚马逊和Google应在博客文章中解决此问题:
“为了防止'Smart Spies'攻击,亚马逊和谷歌需要实施更好的保护,首先要对其语音应用商店中提供的第三方技能和操作进行更彻底的审查。语音应用审查需要明确检查副本应该删除不可发音的字符,例如'。'和无提示SSML消息,以防止扬声器的输出中出现任意长时间的停顿。包括“ password”在内的可疑输出文本应特别注意或完全禁止使用。
该公司还在其YouTube频道上分享了四个视频,展示了进行网络钓鱼攻击和窃听Alexa和Google Home用户的漏洞。
Google告诉ZDNet,它“删除了我们从这些研究人员那里发现的操作”,并且“提出了适当的机制来防止将来发生这些问题。”亚马逊一直保持沉默。
