近日据悉,SRLabs 的安全分析师,找到了一种利用 Google 和 Amazon 智能扬声器进行网络钓鱼和窃听用户的新漏洞。
在此之后,他上传了看似无害的 Alexa Skills 和 Google Actions 自定义操作技能,以测试该漏洞是否会轻易得逞。由视频演示可知,一位 SRLabs 研究人员向 Google Home 索要了一个随机数,由其产生并发出声音。
即便 Actions 已执行完成,程序仍保持后台监听的状态。之后,第三方计算机收到了用户所述内容的抄录。
至于 Alexa,安全分析师也创建了一个简单的“星座技巧”,要求 Alexa 对其进行“幸运解读”。
Alexa 会询问用户的十二星座,之后开始监听相关的星座运势读数、同时麦克风一直在后台保持监听。
即便被告知停止操作,Alexa 仍会继续监听房间内发出的声音,并将其发送至接收端的软件。
研究人员还能够让讲述人发出虚假的错误信息。比如在一分钟后发出另一个伪造的错误,诱骗用户自曝账号密码。
SRLabs 至始至终都在利用同一个漏洞。该缺陷使得他们能够持续地向智能扬声器提供无法言语的一系列字符 U+D801、点、空格。
即便设备保持着‘静音’的状态,‘算法’也能够维持对用户展开监听的信道的畅通。
谷歌和亚马逊不会对安装在其智能扬声器上的软件技能展开仔细的检查,恶意团体或轻易将间谍软件添加到应用程序的补丁中,而无需另行通知。