黑客利用Google Home和Amazon Alexa窃听并记录密码
开始讨论拥有像Amazon的Alexa或Google的Home这样的智能扬声器对隐私的影响,您很可能会很快看到两个定义明确的人群。第一个观点认为,智能扬声器基本上是连接互联网的窃听器,可用于监视我们,因此应尽可能远离我们的家。另一个小组将告诉怀疑论者放开他们的锡箔帽子,并享受高科技物联网(IoT)小工具的便利。
亚马逊和谷歌已经售出了数百万套家庭助理设备,这一事实表明,与众不同的是,聪明的演讲者粉丝更多。亚马逊Alexa和Google Home的所有者可能希望对他们的乐观情绪更加谨慎,但是,因为几天前,SRLabs的专家发布了一份报告 , 该报告显示在这种特殊情况下,阴谋论可能不会那么遥远。拿来。
开箱即用的智能扬声器具有许多有用的功能,尤其是将它们连接到其他物联网设备时。借助第三方应用程序(或技能),可以进一步扩展家庭助理的功能,并且,正如您可能已经猜到的那样,SRLabs的研究人员发现滥用这些第三方应用程序的方法不是一种,而是两种。
Table of Contents
恶意的智能扬声器技能会窃取用户的登录凭据
两次攻击中的第一个攻击是从用户要求Alexa或Google Home使用研究人员开发的技能来获取星座运势开始的。该应用程序返回一条错误消息,提示该服务在该国家/地区不可用,而不是读取星座运势。静默约一分钟后,智能扬声器突然宣布安全更新可用,并且安装该更新需要用户密码。
实际上,没有更新,整个操作旨在窃取用户的登录凭据。出现错误消息后,恶意占星应用程序向智能扬声器的文本语音转换引擎馈入不可发音的字符串-“ ..”(U + D801,点和空格),使助手在预设时间内保持沉默时间。这样做是为了诱使人们以为应用程序已关闭,这对于他们要相信更新确实在等待中至关重要。从那时起,网络钓鱼攻击的成功取决于用户是否忽略了智能扬声器永远不会以这种方式要求输入密码的事实。在SRLabs的第二次攻击中,用户对这些设备如何工作的理解只占很小的一部分。
智能扬声器可以变成窃听器
在这种情况下,Amazon Alexa和Google Home的策略略有不同,但是目标是相同的-偷偷地窃听用户。
对于Alexa,研究人员开发了另一个可以实际读取星座图的Horoscope应用程序。攻击者希望,在解释水星对我们个人生活的影响的过程中,用户变得疲倦并发出“停止”命令。该应用看似合规,Alexa甚至说“再见”。正如您可能已经猜到的,该应用程序实际上尚未关闭。研究人员使用相同的不可发音的字符串(...),使智能扬声器静音,恶意的星座应用程序正在等待听到任何可识别的语音. 它记录的所有内容都会发送给攻击者。
SRLabs与Google Home组合在一起,完成了预期的随机数生成器应用程序。生成数字后,该应用程序还会显示“再见”,并且欺骗用户以为它已关闭。实际上,会话保持打开状态,应用程序等待以查看在预设时间内是否有任何要说的内容。如果确实听到了声音,它将记录下来并将其发送给攻击者。令人担忧的是,研究人员说,在适当的情况下,窃听期可以无限期延长。
谷歌和亚马逊在审查智能扬声器应用程序方面做得还不够
SRLabs的目的不仅是向所有人展示如何在理论上进行网络钓鱼和间谍。他们想知道这些攻击的实用性,这就是为什么星座运势和随机数生成器技能实际上出现在Google和Amazon的应用程序商店中的原因。
他们确实在发布前经过了检查,但是研究人员意识到,一旦发布了这些应用程序,谷歌和亚马逊就不会对新功能和更新进行任何审查。 SRLabs最初发布的应用程序完全良性,后来又添加了恶意组件,没有任何问题。
亚马逊和谷歌都承诺将更新其审批流程,我们只能希望情况确实如此,因为很显然第三方软件没有得到应有的审查,尤其是考虑到以下事实:它所操作的设备周围都有麦克风,这应该是我们自己房屋的隐私。
