黑客利用Google Home和Amazon Alexa竊聽並記錄密碼
開始討論擁有像Amazon的Alexa或Google的Home這樣的智能揚聲器對隱私的影響,您很可能會很快看到兩個定義明確的人群。第一個觀點認為,智能揚聲器基本上是連接互聯網的竊聽器,可用於監視我們,因此應盡可能遠離我們的家。另一個小組將告訴懷疑論者放開他們的錫箔帽子,並享受高科技物聯網(IoT)小工具的便利。
亞馬遜和谷歌已經售出了數百萬套家庭助理設備,這一事實表明,與眾不同的是,聰明的演講者粉絲更多。亞馬遜Alexa和Google Home的所有者可能希望對他們的樂觀情緒更加謹慎,但是,因為幾天前,SRLabs的專家發布了一份報告 , 該報告顯示,在這種特殊情況下,陰謀論可能不會那麼遙遠。拿來。
開箱即用的智能揚聲器具有許多有用的功能,尤其是將它們連接到其他物聯網設備時。借助第三方應用程序(或技能),可以進一步擴展家庭助理的功能,正如您可能已經猜到的那樣,SRLabs的研究人員發現濫用這些第三方應用程序的方法不是一種,而是兩種。
Table of Contents
惡意的智能揚聲器技能會竊取用戶的登錄憑據
兩次攻擊中的第一個攻擊是從用戶要求Alexa或Google Home使用研究人員開發的技能來獲取星座運勢開始的。該應用程序返回一條錯誤消息,提示該服務在該國家/地區不可用,而不是讀取星座運勢。靜默約一分鐘後,智能揚聲器突然宣布安全更新可用,並且安裝該更新需要用戶密碼。
實際上,沒有更新,整個操作旨在竊取用戶的登錄憑據。出現錯誤消息後,惡意占星應用程序向智能揚聲器的文本語音轉換引擎饋入不可發音的字符串-“ ..”(U + D801,點和空格),從而使助手在預設時間內保持沉默時間。這樣做是為了誘使人們以為應用程序已關閉,這對於他們要相信更新確實在等待中至關重要。從那時起,網絡釣魚攻擊的成功取決於用戶是否忽略了智能揚聲器永遠不會以這種方式要求輸入密碼的事實。在SRLabs的第二次攻擊中,用戶對這些設備如何工作的理解只佔很小的一部分。
智能揚聲器可以變成竊聽器
在這種情況下,Amazon Alexa和Google Home的策略略有不同,但是目標是相同的-偷偷地竊聽用戶。
對於Alexa,研究人員開發了另一個可以實際讀取星座圖的Horoscope應用程序。攻擊者希望,在解釋水星對我們個人生活的影響的過程中,用戶變得疲倦並發出“停止”命令。該應用看似合規,Alexa甚至說“再見”。正如您可能已經猜到的,該應用程序實際上尚未關閉。研究人員使用相同的不可發音的字符串(...),使智能揚聲器靜音,惡意的星座應用程序正在等待聽到任何可識別的語音. 它記錄的所有內容都會發送給攻擊者。
SRLabs與Google Home組合在一起,完成了預期的隨機數生成器應用程序。生成數字後,該應用程序還會顯示“再見”,並且欺騙用戶以為它已關閉。實際上,會話保持打開狀態,應用程序等待以查看在預設時間內是否有任何聲音。如果確實聽到了聲音,它將記錄下來並將其發送給攻擊者。令人擔憂的是,研究人員說,在適當的情況下,竊聽期可以無限期延長。
谷歌和亞馬遜在審查智能揚聲器應用程序方面做得還不夠
SRLabs的目的不僅是向所有人展示如何在理論上進行網絡釣魚和間諜。他們想了解這些攻擊的實用性,這就是為什麼星座運勢和隨機數生成器技能實際上出現在Google和亞馬遜的應用商店中的原因。
他們確實在發布前經過了檢查,但是研究人員意識到,一旦發布了這些應用程序,Google和Amazon便不會審查新功能和更新。 SRLabs最初發布的應用程序完全良性,後來又添加了惡意組件,沒有任何問題。
亞馬遜和谷歌都承諾將更新其審批流程,我們只能希望情況確實如此,因為很明顯第三方軟件沒有得到應有的審查,尤其是考慮到以下事實:它所操作的設備周圍都有麥克風,這應該是我們自己房屋的隱私。
