安全研究實驗室的研究人員報告稱,Google Home 和 Amazon Echo 揚聲器是新安全漏洞的受害者。透過利用這一重要漏洞,專家們成功地在用戶不知情的情況下監視了用戶的對話。更糟的是,該缺陷還允許您的密碼被收集。
德國安全研究實驗室 (SRLabs) 公司的研究人員成功開發了多種能夠使用揚聲器監視您的程序Google首頁或者亞馬遜迴聲。為了實現他們的目標,研究人員開發了 Amazon Alexa 和 Actions for Google Home 的技能。研究人員將這些技能和行動描述為“揚聲器的智慧型語音應用程式”。
另請閱讀:Alexa – 如何防止亞馬遜員工監聽您與 Echo 的對話?
這些語音應用程式看似無害。他們特別承諾大聲朗讀每日星座運勢。演講者用戶並不知道該應用程式能夠在他們不知情的情況下收集他們的個人資料。一旦技能/動作被激活,揚聲器就會顯示一條虛假的錯誤訊息。該應用程式會以安裝系統更新為藉口,要求您安裝密碼。最容易上當的用戶可能會陷入陷阱。 SRLabs 將此次攻擊描述為“願望“,一種語音網路釣魚形式。
據 SRLabs 稱,該缺陷還允許監視用戶的私人對話。研究人員開發的程式使揚聲器保持永久聆聽模式,而您卻沒有意識到。在這兩種情況下,惡意應用程式都會在交換結束時發出錯誤的結束訊號,以降低使用者的警覺性。在 SRLabs 的聯繫下,Google 和 Amazon 迅速部署了修復。
「用戶應該意識到惡意語音應用程式濫用智慧揚聲器的危險。使用新的語音應用程式應像在智慧型手機上安裝新應用程式一樣謹慎”德國公司的報告警告。你覺得這項研究怎麼樣?你會三思而後行嗎在您的 Amazon Echo 上安裝未知技能?
來源 :安全研究實驗室
