近日據(jù)悉，SRLabs 的安全分析師，找到了一種利用 Google 和 Amazon 智能揚(yáng)聲器進(jìn)行網(wǎng)絡(luò)釣魚和竊聽用戶的新漏洞。

在此之后，他上傳了看似無害的 Alexa Skills 和 Google Actions 自定義操作技能，以測(cè)試該漏洞是否會(huì)輕易得逞。由視頻演示可知，一位 SRLabs 研究人員向 Google Home 索要了一個(gè)隨機(jī)數(shù)，由其產(chǎn)生并發(fā)出聲音。

即便 Actions 已執(zhí)行完成，程序仍保持后臺(tái)監(jiān)聽的狀態(tài)。之后，第三方計(jì)算機(jī)收到了用戶所述內(nèi)容的抄錄。

至于 Alexa，安全分析師也創(chuàng)建了一個(gè)簡(jiǎn)單的“星座技巧”，要求 Alexa 對(duì)其進(jìn)行“幸運(yùn)解讀”。

Alexa 會(huì)詢問用戶的十二星座，之后開始監(jiān)聽相關(guān)的星座運(yùn)勢(shì)讀數(shù)、同時(shí)麥克風(fēng)一直在后臺(tái)保持監(jiān)聽。

即便被告知停止操作，Alexa 仍會(huì)繼續(xù)監(jiān)聽房間內(nèi)發(fā)出的聲音，并將其發(fā)送至接收端的軟件。

研究人員還能夠讓講述人發(fā)出虛假的錯(cuò)誤信息。比如在一分鐘后發(fā)出另一個(gè)偽造的錯(cuò)誤，誘騙用戶自曝賬號(hào)密碼。

SRLabs 至始至終都在利用同一個(gè)漏洞。該缺陷使得他們能夠持續(xù)地向智能揚(yáng)聲器提供無法言語的一系列字符 U+D801、點(diǎn)、空格。

即便設(shè)備保持著‘靜音’的狀態(tài)，‘算法’也能夠維持對(duì)用戶展開監(jiān)聽的信道的暢通。

谷歌和亞馬遜不會(huì)對(duì)安裝在其智能揚(yáng)聲器上的軟件技能展開仔細(xì)的檢查，惡意團(tuán)體或輕易將間諜軟件添加到應(yīng)用程序的補(bǔ)丁中，而無需另行通知。

關(guān)鍵詞：