SRLabs 的安全分析师,找到了一种利用 Google 和 Amazon 智能扬声器进行网络钓鱼和窃听用户的新漏洞。之后其上传了看似无害的 Alexa Skills 和 Google Actions 自定义操作技能,以测试该漏洞是否会轻易得逞。由视频演示可知,一位 SRLabs 研究人员向 Google Home 索要了一个随机数,由其产生并发出声音。
(图自:SRLabs,via TechSpot)
可即便 Actions 已执行完成,程序仍保持后台监听的状态。之后,第三方计算机收到了用户所述内容的抄录。
至于 Alexa,安全分析师也创建了一个简单的“星座技巧”,要求 Alexa 对其进行“幸运解读”。
Alexa 会询问用户的十二星座,之后开始监听相关的星座运势读数、同时麦克风一直在后台保持监听。
即便被告知停止操作,Alexa 仍会继续监听房间内发出的声音,并将其发送至接收端的软件。
此外,研究人员还能够让讲述人发出虚假的错误信息。比如在一分钟后发出另一个伪造的错误,诱骗用户自曝账号密码。
Smart Spies_ Amazon Alexa Eavesdropping(via)
事实上,SRLabs 至始至终都在利用同一个漏洞。该缺陷使得他们能够持续地向智能扬声器提供无法言语的一系列字符(U+D801、点、空格)。
如此一来,即便设备保持着‘静音’的状态,‘算法’也能够维持对用户展开监听的信道的畅通。
周一的时候,SRLabs 安全分析师决定将漏洞公之于众。但在此之前,其已经向两家公司提出过警告。此外,SRLabs 向 YouTube 上传了一段视频,以展示该漏洞对智能扬声器用户造成的安全隐患。
目前尚没有任何证据表明除 SRLabs 研究团队意外的任何人在使用相关漏洞,不过亚马逊已经实施了相应的对策来检测和防止对 Alexa 技能的滥用。
至于谷歌,该公司也表示更新了审查程序,以揪出这类行为,并移除任何有违操作准则的 Actions 。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
