SRLabs 的安全分析师,找到了一种利用 Google 和 Amazon 智能扬声器进行网络钓鱼和窃听用户的新漏洞。之后其上传了看似无害的 Alexa Skills 和 Google Actions 自定义操作技能,以测试该漏洞是否会轻易得逞。即便 Actions 已执行完成,程序仍保持后台监听的状态。之后,第三方计算机收到了用户所述内容的抄录。
至于 Alexa,安全分析师也创建了一个简单的“星座技巧”,要求 Alexa 对其进行“幸运解读”。Alexa 会询问用户的十二星座,之后开始监听相关的星座运势读数、同时麦克风一直在后台保持监听。即便被告知停止操作,Alexa 仍会继续监听房间内发出的声音,并将其发送至接收端的软件。
此外,研究人员还能够让讲述人发出虚假的错误信息。比如在一分钟后发出另一个伪造的错误,诱骗用户自曝账号密码。
事实上,SRLabs 至始至终都在利用同一个漏洞。该缺陷使得他们能够持续地向智能扬声器提供无法言语的一系列字符(U+D801、点、空格)。
如此一来,即便设备保持着‘静音’的状态,‘算法’也能够维持对用户展开监听的信道的畅通。
鉴于谷歌和亚马逊不会对安装在其智能扬声器上的软件技能展开仔细的检查,恶意团体或轻易将间谍软件添加到应用程序的补丁中,而无需另行通知。
周一的时候,SRLabs 安全分析师决定将漏洞公之于众。但在此之前,其已经向两家公司提出过警告。此外,SRLabs 向 YouTube 上传了一段视频,以展示该漏洞对智能扬声器用户造成的安全隐患。
目前尚没有任何证据表明除 SRLabs 研究团队意外的任何人在使用相关漏洞,不过亚马逊已经实施了相应的对策来检测和防止对 Alexa 技能的滥用。
至于谷歌,该公司也表示更新了审查程序,以揪出这类行为,并移除任何有违操作准则的 Actions 。