信息來源:Hacker News
SRLabs 的安全分析師,找到了一種利用 Google 和 Amazon 智能揚(yáng)聲器進(jìn)行網(wǎng)絡(luò)釣魚和竊聽用戶的新漏洞����。之后其上傳了看似無害的 Alexa Skills 和 Google Actions 自定義操作技能�,以測試該漏洞是否會輕易得逞。由視頻演示可知���,一位 SRLabs 研究人員向 Google Home 索要了一個隨機(jī)數(shù)�����,由其產(chǎn)生并發(fā)出聲音。
可即便 Actions 已執(zhí)行完成��,程序仍保持后臺監(jiān)聽的狀態(tài)��。之后,第三方計算機(jī)收到了用戶所述內(nèi)容的抄錄����。
至于 Alexa,安全分析師也創(chuàng)建了一個簡單的“星座技巧”����,要求 Alexa 對其進(jìn)行“幸運解讀”。
Alexa 會詢問用戶的十二星座��,之后開始監(jiān)聽相關(guān)的星座運勢讀數(shù)����、同時麥克風(fēng)一直在后臺保持監(jiān)聽。
即便被告知停止操作����,Alexa 仍會繼續(xù)監(jiān)聽房間內(nèi)發(fā)出的聲音,并將其發(fā)送至接收端的軟件�。
此外,研究人員還能夠讓講述人發(fā)出虛假的錯誤信息���。比如在一分鐘后發(fā)出另一個偽造的錯誤���,誘騙用戶自曝賬號密碼��。
事實上����,SRLabs 至始至終都在利用同一個漏洞�。該缺陷使得他們能夠持續(xù)地向智能揚(yáng)聲器提供無法言語的一系列字符(U+D801、點����、空格)。
如此一來�����,即便設(shè)備保持著‘靜音’的狀態(tài)��,‘算法’也能夠維持對用戶展開監(jiān)聽的信道的暢通�。
鑒于谷歌和亞馬遜不會對安裝在其智能揚(yáng)聲器上的軟件技能展開仔細(xì)的檢查,惡意團(tuán)體或輕易將間諜軟件添加到應(yīng)用程序的補(bǔ)丁中�,而無需另行通知。
周一的時候�,SRLabs 安全分析師決定將漏洞公之于眾。但在此之前���,其已經(jīng)向兩家公司提出過警告��。此外����,SRLabs 向 YouTube 上傳了一段視頻�����,以展示該漏洞對智能揚(yáng)聲器用戶造成的安全隱患���。
目前尚沒有任何證據(jù)表明除 SRLabs 研究團(tuán)隊意外的任何人在使用相關(guān)漏洞�����,不過亞馬遜已經(jīng)實施了相應(yīng)的對策來檢測和防止對 Alexa 技能的濫用���。
至于谷歌,該公司也表示更新了審查程序�����,以揪出這類行為����,并移除任何有違操作準(zhǔn)則的 Actions
