2019-10-21
引述外媒报道,之前曾有媒体报道,亚马逊的Alexa和谷歌智能音箱就可以窃听用户信息,甚至通过语音诱骗他们。但是,新的研究表明,具有这些功能的新恶意第三方应用程序继续被两家公司批准。
ZDNet 表示,这两个漏洞(如以下视频所示)的发生是因为两家公司都允许第三方开发人员为他们创建应用程序或“技能”,从而使他们的演讲者更聪明。苹果的HomePod是安全的,因为该公司不允许此类第三方访问…
亚马逊和谷歌每次都部署对策,但利用智能助手的新方法仍在不断出现。
最新的漏洞已于今年初被安全研究实验室(SRLabs)的两名安全研究人员Luise Frerichs和FabianBräunlein识别,并于上周与ZDNet 分享了他们的发现。
网络钓鱼和窃听媒介都可以通过Amazon和Google提供给Alexa或Google Home自定义应用程序开发人员的后端进行利用。
这些后端提供对功能的访问,开发人员可以使用这些功能来自定义智能助手的响应命令以及助手的回复方式。
第三方应用程序应该起作用的方式是,在智能扬声器向用户提问后,麦克风仅在短时间内处于活动状态。例如,如果我告诉Alexa要求我的超级市场应用向购物篮中添加一些东西,则该应用将检查我的订单历史记录以获取确切的商品详细信息,然后Alexa会告诉我所找到的内容并要求我确认我要的是什么。然后,它会在等待我说“是”或“否”的同时,短时激活Echo Dot的麦克风。如果我在几秒钟内未回复,则麦克风再次关闭。
但是,恶意应用程序可能会使麦克风处于激活状态并记录其听到的声音更长的时间。这是通过使用特殊的字符串实现的,该字符串会在问题或确认后产生长时间的暂停,而麦克风在此期间仍会保持打开状态。
“。。”字符串也可以用于[…]进行窃听攻击。但是,这一次,在恶意应用程序响应用户命令后使用了字符序列。
字符序列用于使设备保持活动状态并记录用户的对话,并将其记录在日志中,并发送给攻击者的服务器进行处理。
这样一来,智能扬声器就可以在麦克风仍打开的情况下监听任何声音。
另外,长时间停顿可用于使所有者认为他们不再与应用程序进行交互。此时,可以进行网络钓鱼尝试。
其目的是告诉用户应用程序已失败,请插入``。”以引起长时间的停顿,然后在几分钟后提示用户使用网络钓鱼消息,诱骗目标用户认为网络钓鱼消息与他们刚刚与之交互的先前应用程序无关。
例如,在下面的视频中,星座应用程序触发了一个错误,但随后仍处于活动状态,并最终在伪造来自Amazon / Google本身的更新消息时要求用户提供其Amazon / Google密码。
在HomePod上无法进行这种类型的攻击,因为第三方应用程序与Siri交互的唯一方法是通过Apple自己的API。应用没有直接访问权限。
