窃听应用竟能通过安全审核!智能音箱变“间谍”,黑客钓鱼盗密码,谷歌亚马逊都中招
鱼羊 发自 凹非寺
量子位 报道 | 公众号 QbitAI
来自智能音箱的威胁,不只局限于官方对录音的收集了。
通过亚马逊Alexa和Google Home安全验证的第三方应用程序,现在被证实可以在暗中窃听用户并窃取用户密码。
最近,德国安全研究实验室(SRLabs)公布了他们针对智能音箱黑客攻击方案的研究。
SRLabs的白帽黑客开发了八个应用程序,它们被伪装成星座运势查询应用和随机数生成器,但事实上,它们都是“秘密间谍”,能暗中偷听用户对话并窃取用户密码。
无一例外,它们都通过了亚马逊和Google的安全审查,堂而皇之地登上了应用商店。
SRLabs的高级安全顾问Fabian Bräunlein表示:
这就意味着,不仅是制造商,黑客也可以滥用语音助手来侵犯用户们的隐私。
秘密间谍
无论是亚马逊的Alexa还是谷歌的Google Home,都允许第三方开发人员访问用户的语音输入。比如一个星座运势查询应用,用户可以通过“Alexa,打开‘我的星座’”这样的特定短语来调用应用程序。
通过标准的开发接口,研究人员们发现,他们完全可以通过两种方式来窃取用户隐私,还不会被亚马逊和谷歌抓包:
请求并收集包括用户密码在内的个人数据
在用户认为智能音箱已经停止收听后继续窃听用户
就像视频中演示的那样,以“随机数生成器”为例,在Google Home回复了用户的询问,说了“goodbye”并响起结束提示音之后,上面的恶意应用并没有真的跟你再见。相反,它还在持续记录着设备声音范围内的所有对话,并把这些记录通通发送给黑客。
而在另一个“星座运势查询应用”中,当你询问应用程序“今天的幸运星座是什么呀”,它会假装回答“你所在的国家不在服务区”,然后它就关闭了,并不!在沉默一两分钟后,它会伪装成Alexa或Google Home本体,声称设备更新可用,提示你输入密码!
也就是说,黑客完全可以在亚马逊和谷歌的眼皮子底下,操纵“停止”和“启动”命令,蒙蔽用户,在用户完全不知道的情况下,监听你,记录你。
官方回应
目前,SRLabs已经向亚马逊和谷歌报告了这一研究结果。两家公司已经删除了这几个应用程序,并表示他们正在加强审核流程,以避免真正的居心险恶者利用这些规则漏洞。
亚马逊回应称:
客户的信任对我们很重要,我们会在第三方应用认证过程中进行安全审查。针对SRLabs发现的问题我们已经采取了预防和检测措施,以防其再次发生。
谷歌也表示:
我们正在采取其他机制来防止将来再次发生这样的问题。
据悉,谷歌正在对智能音箱上的所有第三方应用进行审查。
谷歌和亚马逊均在声明中提到:智能音箱绝不会要求用户提供帐户密码。
One More Thing
这已经不是智能音箱等智能语音设备第一次翻车了。
今年4月,亚马逊就被曝出其智能语音助手Alexa和用户的对话都被记录了下来,亚马逊的员工还会听到这些录音,以开发新的服务。
谷歌语音助手Assistant和苹果Siri也都在此前被爆料,与用户的沟通录音会被送往外包公司,录音没有脱敏,完全可以通过其内容辨别出用户地址、感情生活等隐私信息。
这回,还不只是官方,黑客也能来插一脚了。
现在,智能设备已经渗入了人们生活的方方面面,它们功能强大,却也漏洞多多。
就像SRLabs所说,用户应该意识到危险性,在使用新的语音应用程序时更加谨慎。但更重要的是,AI语音助手厂商们,应该更加注重安全问题,采取更强大的保护措施,来保障用户的隐私安全。
— 完 —
活动推荐 | 10.31-11.1北京智源大会
百位顶级专家,60+前沿报告,10+圆桌论坛与尖峰对话,为你带来内行的AI盛会。
荟萃全球顶级学者:John Hopcroft(图灵奖),Michael Jordan(机器学习权威学者),Chris Manning(NLP权威学者),朱松纯(计算机视觉权威学者),张钹、高文、戴琼海和张平文院士等100多位专家。
扫码查看大会详细日程,注册参会时输入优惠码「BBAILZW」专享7折优惠,学生票仅69元(数量有限,先到先得)。
喜欢就点「好看」吧 !
- 【每日安全资讯】黑客或能利用智能手机应用让工厂爆炸
- 如何通过控制端口保障电脑安全(黑客技术小应用)
- 逼近亚马逊,2017年谷歌共销售了670万台智能音箱 | 行业
- 亚马逊与谷歌展开智能音箱大战 赔钱卖也在所不惜 | 竞争
- 亚马逊等智能音箱“偷听”用户 AI安全问题再成焦点
- 如何用一次性密码通过 SSH 安全登录 Linux
- 亚马逊智能手机目标是以3D技术抗衡苹果和谷歌
- 亚马逊智能音箱无故发出笑声,多名用户被吓尿
- 黑客非法探取密码的原理及安全防范
- 抓住9个要点让你的产品更快通过应用商店的审核
- DM355以低成本刺激视频安全应用走向高清和智能时代
- Web应用中保证密码传输安全
- PhoneGap应用开发对策:如何通过苹果审核?
- android UiAutomator应用实例--通过循环发现安全键盘的bug
- 应用安全思维之密码保护原则
- 【每日安全资讯】外媒:伊朗秘密监视用户 苹果安卓应用皆中招
- 教你如何打造黑客也读不懂的安全密码
- 通过OWA修改密码,提示您输入的密码不符合最低安全要求
- Web应用扫描测试工具Vega Vega是Kali Linux提供的图形化的Web应用扫描和测试平台工具。该工具提供代理和扫描两种模式。在代理模式中,安全人员可以分析Web应用的会话信息。通过工具自