SRLabs 的安全分析師,找到了一種利用 Google 和 Amazon 智慧揚聲器進行網路釣魚和竊聽使用者的新漏洞。
之後其上傳了看似無害的 Alexa Skills 和 Google Actions 自定義操作技能,以測試該漏洞是否會輕易得逞。
由影片演示可知,一位 SRLabs 研究人員向 Google Home 索要了一個隨機數,由其產生併發出聲音。
(圖自:SRLabs,via TechSpot)
可即便 Actions 已執行完成,程式仍保持後臺監聽的狀態。之後,第三方計算機收到了使用者所述內容的抄錄。
至於 Alexa,安全分析師也建立了一個簡單的“星座技巧”,要求 Alexa 對其進行“幸運解讀”。
Alexa 會詢問使用者的十二星座,之後開始監聽相關的星座運勢讀數、同時麥克風一直在後臺保持監聽。
即便被告知停止操作,Alexa 仍會繼續監聽房間內發出的聲音,並將其傳送至接收端的軟體。
此外,研究人員還能夠讓講述人發出虛假的錯誤資訊。比如在一分鐘後發出另一個偽造的錯誤,誘騙使用者自曝賬號密碼。
【Smart Spies_ Amazon Alexa Eavesdropping】
事實上,SRLabs 至始至終都在利用同一個漏洞。該缺陷使得他們能夠持續地向智慧揚聲器提供無法言語的一系列字元(U+D801、點、空格)。
如此一來,即便裝置保持著‘靜音’的狀態,‘演算法’也能夠維持對使用者展開監聽的通道的暢通。
鑑於谷歌和亞馬遜不會對安裝在其智慧揚聲器上的軟體技能展開仔細的檢查,惡意團體或輕易將間諜軟體新增到應用程式的補丁中,而無需另行通知。
週一的時候,SRLabs 安全分析師決定將漏洞公之於眾。但在此之前,其已經向兩家公司提出過警告。此外,SRLabs 向 YouTube 上傳了一段影片,以展示該漏洞對智慧揚聲器使用者造成的安全隱患。
目前尚沒有任何證據表明除 SRLabs 研究團隊意外的任何人在使用相關漏洞,不過亞馬遜已經實施了相應的對策來檢測和防止對 Alexa 技能的濫用。
至於谷歌,該公司也表示更新了審查程式,以揪出這類行為,並移除任何有違操作準則的 Actions 。
SRLabs 的安全分析師,找到了一種利用 Google 和 Amazon 智慧揚聲器進行網路釣魚和竊聽使用者的新漏洞。
之後其上傳了看似無害的 Alexa Skills 和 Google Actions 自定義操作技能,以測試該漏洞是否會輕易得逞。
由影片演示可知,一位 SRLabs 研究人員向 Google Home 索要了一個隨機數,由其產生併發出聲音。
(圖自:SRLabs,via TechSpot)
可即便 Actions 已執行完成,程式仍保持後臺監聽的狀態。之後,第三方計算機收到了使用者所述內容的抄錄。
至於 Alexa,安全分析師也建立了一個簡單的“星座技巧”,要求 Alexa 對其進行“幸運解讀”。
Alexa 會詢問使用者的十二星座,之後開始監聽相關的星座運勢讀數、同時麥克風一直在後臺保持監聽。
即便被告知停止操作,Alexa 仍會繼續監聽房間內發出的聲音,並將其傳送至接收端的軟體。
此外,研究人員還能夠讓講述人發出虛假的錯誤資訊。比如在一分鐘後發出另一個偽造的錯誤,誘騙使用者自曝賬號密碼。
【Smart Spies_ Amazon Alexa Eavesdropping】
事實上,SRLabs 至始至終都在利用同一個漏洞。該缺陷使得他們能夠持續地向智慧揚聲器提供無法言語的一系列字元(U+D801、點、空格)。
如此一來,即便裝置保持著‘靜音’的狀態,‘演算法’也能夠維持對使用者展開監聽的通道的暢通。
鑑於谷歌和亞馬遜不會對安裝在其智慧揚聲器上的軟體技能展開仔細的檢查,惡意團體或輕易將間諜軟體新增到應用程式的補丁中,而無需另行通知。
週一的時候,SRLabs 安全分析師決定將漏洞公之於眾。但在此之前,其已經向兩家公司提出過警告。此外,SRLabs 向 YouTube 上傳了一段影片,以展示該漏洞對智慧揚聲器使用者造成的安全隱患。
目前尚沒有任何證據表明除 SRLabs 研究團隊意外的任何人在使用相關漏洞,不過亞馬遜已經實施了相應的對策來檢測和防止對 Alexa 技能的濫用。
至於谷歌,該公司也表示更新了審查程式,以揪出這類行為,並移除任何有違操作準則的 Actions 。