Alexa和Google Assistant黑客讓竊聽智能揚聲器進行網絡釣魚

像Amazon Echo或Google Home這樣的智能揚聲器當然可以是有用的工具，但隨之而來的還有一些安全問題。自這些智能揚聲器首次投放市場以來，這些擔憂就已經清楚地表明了。今天，一個安全研究人員團隊發出警報，警告影響Google Home和Amazon Echo設備的漏洞利用，開發人員可以利用這些漏洞竊聽用戶或網上誘騙個人信息。

位于柏林的安全研究實驗室在發布到其網站的冗長報告中詳細介紹了這兩種漏洞。它稱這對漏洞為“ Smart Spies”黑客，它開發了一系列應用程序，不僅演示了如何進行攻擊，而且還演示了利用這些漏洞的技能或應用可以繞過亞馬遜和Google的批準程序的事實。 。

第一個Smart Spies hack涉及使用虛假更新警報來仿冒用戶的密碼。正如安全研究實驗室所解釋的那樣，這種利用是基于以下事實：一旦一項技能或應用程序被Google或Amazon批準，更改其功能就不會觸發第二次審核。考慮到這一點，安全研究實驗室構建了使用“開始”一詞觸發功能的應用程序。

一旦該無害應用程序獲得亞馬遜和谷歌的批準，安全研究實驗室便會重新加入，并將該應用程序的歡迎消息更改為偽造的錯誤消息-“您所在的國家/地區目前不具備此技能”，以使用戶相信該應用程序沒有開始，不再聽。從那里開始，Security Research Labs使該應用程序“說”“。”的字符序列。由于該序列不可發音，說話者會沉默一段時間，從而強化了該應用程序和說話者當前均未激活的觀念。

經過一段合理的沉默期后，該應用程序將以類似于Alexa或Google Assistant使用的聲音播放偽造的更新警報。在上面看到的視頻中，此警報使智能揚聲器看起來好像有可用的更新，并且用戶必須說“開始更新”，然后輸入密碼，以提示揚聲器進行安裝。由于在這種情況下，“開始”是一個觸發詞，因此攻擊者會捕獲用戶的密碼，而受害者卻不知道他們只是將登錄憑據提供給了惡意的第三方。

我們中的許多人都知道，亞馬遜和Google不會通過Alexa或Assistant詢問您的密碼，但是這種黑客是在不知道該用戶的用戶的無知下發揮作用。不用說，如果您的智能揚聲器要求您提供密碼或信用卡號之類的個人信息，請不要放棄該信息。

第二個Smart Spies駭客更令人擔憂，因為它可以使您的智能揚聲器在您認為已停止應用程序時繼續竊聽對話。對于Echo設備和Google Home設備，執行此攻擊的過程有所不同，但是兩種攻擊都依賴于在Amazon或Google批準應用程序后更改其運行方式。

在這兩種情況下，攻擊都是通過使用戶認為他們已經停止了某個應用程序而進行的，而實際上該應用程序仍在靜默運行。再次使用字符序列“ ...”，并且在Echo設備上，此時應用程序開始監聽常見的觸發詞，例如“ I”，盡管這些觸發詞可以由攻擊者定義。用戶發出“停止”命令后，該應用程序會監聽幾秒鐘，如果用戶說出以該觸發詞開頭的短語，該會話的內容就會發送到攻擊者的服務器。

在Google Home上，此竊聽漏洞有可能無限期運行，不僅會持續竊聽用戶，還會將用戶嘗試執行的任何其他“ OK Google”命令發送給攻擊者。這意味著，當智能揚聲器所有者嘗試使用其他應用程序時，該漏洞可能會被用于進行中間人攻擊。

安全研究實驗室(Security Research Labs)在發布報告之前向Google和Amazon都報告了這些攻擊，并表示兩家公司都需要對最終用戶實施更好的保護。SRLabs批評的核心是亞馬遜和谷歌采用的有缺陷的批準流程，盡管研究人員還認為，谷歌和亞馬遜應該對使用不發音字符或無提示SSML消息的應用采取行動。

SRLabs認為，亞馬遜和Google也應禁止包含“密碼”的輸出文本，因為沒有真正的理由讓應用程序首先要求那些。最后，SRLabs還表示，用戶應謹慎使用新的智能揚聲器技能和應用程序，因為此報告清楚表明，創造性攻擊者可以在逃避亞馬遜和Google的注意的同時做很多事情。