窃听应用竟能通过安全审核!智能音箱变“间谍”,黑客钓鱼盗密码,谷歌亚马逊都中招

鱼羊 发自 凹非寺

量子位 报道 | 公众号 QbitAI

来自智能音箱的威胁,不只局限于官方对录音的收集了。

通过亚马逊Alexa和Google Home安全验证的第三方应用程序,现在被证实可以在暗中窃听用户窃取用户密码

窃听应用竟能通过安全审核!智能音箱变“间谍”,黑客钓鱼盗密码

最近,德国安全研究实验室(SRLabs)公布了他们针对智能音箱黑客攻击方案的研究。

SRLabs的白帽黑客开发了八个应用程序,它们被伪装成星座运势查询应用和随机数生成器,但事实上,它们都是“秘密间谍”,能暗中偷听用户对话并窃取用户密码。

无一例外,它们都通过了亚马逊和Google的安全审查,堂而皇之地登上了应用商店。

SRLabs的高级安全顾问Fabian Bräunlein表示:

这就意味着,不仅是制造商,黑客也可以滥用语音助手来侵犯用户们的隐私。

秘密间谍

无论是亚马逊的Alexa还是谷歌的Google Home,都允许第三方开发人员访问用户的语音输入。比如一个星座运势查询应用,用户可以通过“Alexa,打开‘我的星座’”这样的特定短语来调用应用程序。

通过标准的开发接口,研究人员们发现,他们完全可以通过两种方式来窃取用户隐私,还不会被亚马逊和谷歌抓包:

  • 请求并收集包括用户密码在内的个人数据
  • 在用户认为智能音箱已经停止收听后继续窃听用户

以“随机数生成器”为例,在Google Home回复了用户的询问,说了“goodbye”并响起结束提示音之后,上面的恶意应用并没有真的跟你再见。相反,它还在持续记录着设备声音范围内的所有对话,并把这些记录通通发送给黑客。

窃听应用竟能通过安全审核!智能音箱变“间谍”,黑客钓鱼盗密码

而在另一个“星座运势查询应用”中,当你询问应用程序“今天的幸运星座是什么呀”,它会假装回答“你所在的国家不在服务区”,然后它就关闭了(划掉),并不!在沉默一两分钟后,它会伪装成Alexa或Google Home本体,声称设备更新可用,提示你输入密码!

窃听应用竟能通过安全审核!智能音箱变“间谍”,黑客钓鱼盗密码
窃听应用竟能通过安全审核!智能音箱变“间谍”,黑客钓鱼盗密码

也就是说,黑客完全可以在亚马逊和谷歌的眼皮子底下,操纵“停止”和“启动”命令,蒙蔽用户,在用户完全不知道的情况下,监听你,记录你。

官方回应

目前,SRLabs已经向亚马逊和谷歌报告了这一研究结果。两家公司已经删除了这几个应用程序,并表示他们正在加强审核流程,以避免真正的居心险恶者利用这些规则漏洞。

亚马逊回应称:

客户的信任对我们很重要,我们会在第三方应用认证过程中进行安全审查。针对SRLabs发现的问题我们已经采取了预防和检测措施,以防其再次发生。

谷歌也表示:

我们正在采取其他机制来防止将来再次发生这样的问题。

据悉,谷歌正在对智能音箱上的所有第三方应用进行审查。

谷歌和亚马逊均在声明中提到:智能音箱绝不会要求用户提供帐户密码

One More Thing

这已经不是智能音箱等智能语音设备第一次翻车了。

今年4月,亚马逊就被曝出其智能语音助手Alexa和用户的对话都被记录了下来,亚马逊的员工还会听到这些录音,以开发新的服务。

谷歌语音助手Assistant和苹果Siri也都在此前被爆料,与用户的沟通录音会被送往外包公司,录音没有脱敏,完全可以通过其内容辨别出用户地址、感情生活等隐私信息。

这回,还不只是官方,黑客也能来插一脚了。

窃听应用竟能通过安全审核!智能音箱变“间谍”,黑客钓鱼盗密码

现在,智能设备已经渗入了人们生活的方方面面,它们功能强大,却也漏洞多多。

就像SRLabs所说,用户应该意识到危险性,在使用新的语音应用程序时更加谨慎。但更重要的是,AI语音助手厂商们,应该更加注重安全问题,采取更强大的保护措施,来保障用户的隐私安全。

— 完 —

版权所有,未经授权不得以任何形式转载及使用,违者必究。