Google Home和Amazon Alexa是已知的安全威胁,这使得科技巨头和犯罪分子最终都可以轻松地访问用户的房屋。安全研究实验室的白帽黑客已经发现了通过设备带来的新威胁。
该团队开发了八个应用程序,作为四个Alexa“技能”和四个Google Home“操作”,它们通过了亚马逊和Google的审核流程,但实际上是在监视用户。SRLabs团队针对具有合法用途的每个平台(如星座应用程序)创建了这些应用程序,但将恶意代码隐藏在其中。
SRLabs证明Alexa和Google Home不过是“智能间谍”
该团队创建了语音应用程序来演示这两个平台的漏洞,从而将助手转变为他们所谓的“智能间谍”。他们专注于以下“构建基块”,最终通过收集个人数据(包括密码)和窃听用户(他们认为自己的智能扬声器已停止监听)来最终损害用户隐私。
一种。我们充分利用 “ 回退意” ,这 是 什么声音的应用程序默认时,它 可以没有用户氏t指定 最近的口头命令 到任何其他意图,并应提供帮助。 (“对不起,我不明白。您能再说一遍吗?”)
b。为了窃听Alexa用户,我们进一步利用了内置的停止意图,该意图对用户说“停止”作出反应。 w ^ Ë 还 注意到被允许后,该应用程序已经通过该平台的审查过程中改变意图的功能优势。
C。最后,我们 利用 了Alexa和Google的“文字转语音”引擎中的一个怪异功能,该功能允许在语音输出中插入较长的停顿。
在一个演示中,SRLabs的研究人员使用了一个无法发音的文本字符串,在此期间讲话者保持沉默,但主动地诱骗用户放弃密码,因为讲话者说的是这个沉默 字符串。“重要的安全更新适用于您的设备。请先说说开始更新,然后输入密码。”
SRLabs还表示,语音应用程序在经过Google或Amazon审核后,他们更改了语音应用程序的功能,并且此更改没有引起第二次审核,而是由第三方应用程序开发人员来包括他们想要的任何恶意代码。
SRLabs现在已经发布了他们的研究和视频。研究人员警告说,Alexa和Google home是功能强大的设备,可用于窃听私人环境中的用户。SRLabs写道:“连接到互联网的麦克风收听您所说的内容所带来的隐私影响比以前理解的要深远。”并补充说,用户需要更加意识到使用滥用智能扬声器的新型语音应用程序。
SRLabs的高级安全顾问FabianBräunlein对ArsTechnica的员工说:“很明显,这些语音助手会影响隐私-Google和Amazon会收到您的讲话,而这有时可能是偶然触发的。”
“我们现在表明,不仅制造商,而且……黑客也可以滥用这些语音助手来侵犯某人的隐私。”
谷歌在声明中表示,它将采取其他机制,而亚马逊表示已实施缓解措施,以预防和检测这种技能行为。但是多年的历史足以证明始终存在漏洞。尽管智能手机已成为必需品,但这些智能扬声器可能甚至不值得冒险。