Google Home和Amazon Alexa是已知的安全威脅，這使得科技巨頭和犯罪分子最終都可以輕松地訪問用戶的房屋。安全研究實驗室的白帽黑客已經(jīng)發(fā)現(xiàn)了通過設(shè)備帶來的新威脅。

該團隊開發(fā)了八個應(yīng)用程序，作為四個Alexa“技能”和四個Google Home“操作”，它們通過了亞馬遜和Google的審核流程，但實際上是在監(jiān)視用戶。SRLabs團隊針對具有合法用途的每個平臺(如星座應(yīng)用程序)創(chuàng)建了這些應(yīng)用程序，但將惡意代碼隱藏在其中。

SRLabs證明Alexa和Google Home不過是“智能間諜”

該團隊創(chuàng)建了語音應(yīng)用程序來演示這兩個平臺的漏洞，從而將助手轉(zhuǎn)變?yōu)樗麄兯^的“智能間諜”。他們專注于以下“構(gòu)建基塊”，最終通過收集個人數(shù)據(jù)(包括密碼)和竊聽用戶(他們認為自己的智能揚聲器已停止監(jiān)聽)來最終損害用戶隱私。

一種。我們充分利用 “ 回退意” ，這 是 什么聲音的應(yīng)用程序默認時，它 可以沒有用戶氏t指定 最近的口頭命令 到任何其他意圖，并應(yīng)提供幫助。 (“對不起，我不明白。您能再說一遍嗎?”)

b。為了竊聽Alexa用戶，我們進一步利用了內(nèi)置的停止意圖，該意圖對用戶說“停止”作出反應(yīng)。 w ^ Ë 還 注意到被允許后，該應(yīng)用程序已經(jīng)通過該平臺的審查過程中改變意圖的功能優(yōu)勢。

C。最后，我們 利用 了Alexa和Google的“文字轉(zhuǎn)語音”引擎中的一個怪異功能，該功能允許在語音輸出中插入較長的停頓。

在一個演示中，SRLabs的研究人員使用了一個無法發(fā)音的文本字符串，在此期間講話者保持沉默，但主動地誘騙用戶放棄密碼，因為講話者說的是這個沉默 字符串。“重要的安全更新適用于您的設(shè)備。請先說說開始更新，然后輸入密碼。”

SRLabs還表示，語音應(yīng)用程序在經(jīng)過Google或Amazon審核后，他們更改了語音應(yīng)用程序的功能，并且此更改沒有引起第二次審核，而是由第三方應(yīng)用程序開發(fā)人員來包括他們想要的任何惡意代碼。

SRLabs現(xiàn)在已經(jīng)發(fā)布了他們的研究和視頻。研究人員警告說，Alexa和Google home是功能強大的設(shè)備，可用于竊聽私人環(huán)境中的用戶。SRLabs寫道：“連接到互聯(lián)網(wǎng)的麥克風收聽您所說的內(nèi)容所帶來的隱私影響比以前理解的要深遠。”并補充說，用戶需要更加意識到使用濫用智能揚聲器的新型語音應(yīng)用程序。

SRLabs的高級安全顧問FabianBräunlein對ArsTechnica的員工說：“很明顯，這些語音助手會影響隱私-Google和Amazon會收到您的講話，而這有時可能是偶然觸發(fā)的。”

“我們現(xiàn)在表明，不僅制造商，而且……黑客也可以濫用這些語音助手來侵犯某人的隱私。”

谷歌在聲明中表示，它將采取其他機制，而亞馬遜表示已實施緩解措施，以預防和檢測這種技能行為。但是多年的歷史足以證明始終存在漏洞。盡管智能手機已成為必需品，但這些智能揚聲器可能甚至不值得冒險。