【网络安全威胁】智能音箱变窃听音响 谷歌亚马逊都中招

2019年10月22日00:04:43 发表评论

来自智能音箱的威胁,不只局限于官方对录音的收集了,通过亚马逊Alexa和Google Home安全验证的第三方应用程序,现在被证实可以在暗中窃听用户并窃取用户密码。

【网络安全威胁】智能音箱变窃听音响 谷歌亚马逊都中招

最近,德国安全研究实验室(SRLabs)公布了他们针对智能音箱黑客攻击方案的研究。

SRLabs的白帽黑客开发了八个应用程序,它们被伪装成星座运势查询应用和随机数生成器,但事实上,它们都是“秘密间谍”,能暗中偷听用户对话并窃取用户密码。

无一例外,它们都通过了亚马逊和Google的安全审查,堂而皇之地登上了应用商店。

SRLabs的高级安全顾问Fabian Bräunlein表示:

这就意味着,不仅是制造商,黑客也可以滥用语音助手来侵犯用户们的隐私。

秘密间谍

无论是亚马逊的Alexa还是谷歌的Google Home,都允许第三方开发人员访问用户的语音输入。比如一个星座运势查询应用,用户可以通过“Alexa,打开‘我的星座’”这样的特定短语来调用应用程序。

通过标准的开发接口,研究人员们发现,他们完全可以通过两种方式来窃取用户隐私,还不会被亚马逊和谷歌抓包,请求并收集包括用户密码在内的个人数据,在用户认为智能音箱已经停止收听后继续窃听用户。

以“随机数生成器”为例,在Google Home回复了用户的询问,说了“goodbye”并响起结束提示音之后,上面的恶意应用并没有真的跟你再见。相反,它还在持续记录着设备声音范围内的所有对话,并把这些记录通通发送给黑客。

而在另一个“星座运势查询应用”中,当你询问应用程序“今天的幸运星座是什么呀”,它会假装回答“你所在的国家不在服务区”,然后它就关闭了,并不!在沉默一两分钟后,它会伪装成Alexa或Google Home本体,声称设备更新可用,提示你输入密码!

也就是说,黑客完全可以在亚马逊和谷歌的眼皮子底下,操纵“停止”和“启动”命令,蒙蔽用户,在用户完全不知道的情况下,监听你,记录你。

官方回应

目前,SRLabs已经向亚马逊和谷歌报告了这一研究结果。两家公司已经删除了这几个应用程序,并表示他们正在加强审核流程,以避免真正的居心险恶者利用这些规则漏洞。

亚马逊回应称:

客户的信任对我们很重要,我们会在第三方应用认证过程中进行安全审查。针对SRLabs发现的问题我们已经采取了预防和检测措施,以防其再次发生。

谷歌也表示:

我们正在采取其他机制来防止将来再次发生这样的问题。

据悉,谷歌正在对智能音箱上的所有第三方应用进行审查。

谷歌和亚马逊均在声明中提到:智能音箱绝不会要求用户提供帐户密码。

发表评论

后发表评论