环球科创网

第三方亚马逊Echo和谷歌主页应用是可怕安全漏洞的雷区

更新时间:2021-11-26 19:53:33

导读 目前智能音箱遍布全球,全球销量的增长速度让人联想到智能手机行业的早期发展。两家公司的销量已经超过了包装供应商。在争夺世界主导权的过

目前智能音箱遍布全球,全球销量的增长速度让人联想到智能手机行业的早期发展。两家公司的销量已经超过了包装供应商。在争夺世界主导权的过程中,亚马逊和谷歌都在竭尽全力让自己脱颖而出,相互竞争。每天,他们都在极大地改进已经令人印象深刻的虚拟助手的功能,并不断扩展其硬件产品组合。

遗憾的是,尽管在相对较新的市场中具有长期增长潜力的激烈竞争为创新体验和应用的快速发展创造了理想的环境,但用户的安全和隐私可能会被严重忽视。值得称赞的是,谷歌和亚马逊似乎都在限制他们的语音控制设备可以收集的数据以及错误处理上述信息的可能性,但仍然存在许多问题和担忧。

一个没有引起媒体广泛关注的非常微妙的问题涉及到所谓的Alexa“技能”和Google Home“动作”的审核过程。这些可以通过官方商店添加到两家公司智能家居设备中的功能,都是由第三方开发的,容易受到外部攻击。

小心你的语音助手要求你做的事情。

通常,用户会问Alexa或Google Assistant问题,发布命令,设置警报等等。然而,正如一家名为SRLabs的公司上传到YouTube的两个视频所证明的那样,你的人工智能助手有时可能会要求你做一些事情,而不是相反。或者至少恶意的Echo或Google Home应用程序可能会说服你。

专门从事安全研究的安全研究实验室开发了这样一个应用,旨在揭示Alexa和支持Google Assistant的设备令人震惊的漏洞。事实证明,伪装成具有一定地域限制的合法“幸运星座”服务,很容易植入基本的Alexa技能和Google Home操作,可以“隐藏”(语音钓鱼)用户密码。

这些应用程序可能会诱使用户信任他们的设备,而不是真正的相关应用程序请求语音密码验证来安装软件更新。当然,这不是更新智能扬声器的方法,但这只是一个安全漏洞的例子,可以用非常严重的方式加以利用。其他例子包括询问密码对应的电子邮件地址,甚至是财务信息。

偷听也很容易。

SRLabs为验证谷歌和亚马逊应用程序审批机制的有效性而进行的另一项测试包括,在理论上停止使用对话后,操纵同样无辜的星座“技能”和“动作”来倾听对话。可以预见的是,仅仅要求第三方应用程序“停止”提供您之前请求的信息可能不会停止监听过程。

在这种情况下,入侵Echo和Google Home的工作方式略有不同,但最终结果同样令人恐惧。你在这些设备上说的任何话都可能在很多方面对你有害,我们真的不想在这里详细讨论。

谷歌和亚马逊正在采用“机制”来提高安全性。

从技术上讲,这只是谷歌对SRLabs令人不安的消息的回应,但亚马逊已经向Ars Technica提供了类似的措辞。虽然说法模棱两可,但公司强调,从现在开始,已经采取了“缓解措施”来“预防和发现这种技能行为”。

顺便说一句,SRLabs的所作所为并不纯粹是理论上的,而是发布了已经被谷歌和亚马逊批准的恶意应用程序。在联系这两家科技巨头删除钓鱼和窃听应用程序之前,很明显技能和行动的潜力没有得到充分利用。

按照谷歌和亚马逊的说法,未来应该不会有这么明显的安全漏洞,但还是谨慎下载比较好。记住,不要做语音助手可能会问的任何粗鲁的事情。

免责声明:本文由用户上传,如有侵权请联系删除!