像Amazon Echo或Google Home這樣的智能揚(yáng)聲器當(dāng)然可以是有用的工具，但隨之而來(lái)的還有一些安全問(wèn)題。自這些智能揚(yáng)聲器首次投放市場(chǎng)以來(lái)，這些擔(dān)憂(yōu)就已經(jīng)清楚地表明了。今天，一個(gè)安全研究人員團(tuán)隊(duì)發(fā)出警報(bào)，警告影響Google Home和Amazon Echo設(shè)備的漏洞利用，開(kāi)發(fā)人員可以利用這些漏洞竊聽(tīng)用戶(hù)或網(wǎng)上誘騙個(gè)人信息。

位于柏林的安全研究實(shí)驗(yàn)室在發(fā)布到其網(wǎng)站的冗長(zhǎng)報(bào)告中詳細(xì)介紹了這兩種漏洞。它稱(chēng)這對(duì)漏洞為“ Smart Spies”黑客，它開(kāi)發(fā)了一系列應(yīng)用程序，不僅演示了如何進(jìn)行攻擊，而且還演示了利用這些漏洞的技能或應(yīng)用可以繞過(guò)亞馬遜和Google的批準(zhǔn)程序的事實(shí)。 。

第一個(gè)Smart Spies hack涉及使用虛假更新警報(bào)來(lái)仿冒用戶(hù)的密碼。正如安全研究實(shí)驗(yàn)室所解釋的那樣，這種利用是基于以下事實(shí)：一旦一項(xiàng)技能或應(yīng)用程序被Google或Amazon批準(zhǔn)，更改其功能就不會(huì)觸發(fā)第二次審核?？紤]到這一點(diǎn)，安全研究實(shí)驗(yàn)室構(gòu)建了使用“開(kāi)始”一詞觸發(fā)功能的應(yīng)用程序。

一旦該無(wú)害應(yīng)用程序獲得亞馬遜和谷歌的批準(zhǔn)，安全研究實(shí)驗(yàn)室便會(huì)重新加入，并將該應(yīng)用程序的歡迎消息更改為偽造的錯(cuò)誤消息-“您所在的國(guó)家/地區(qū)目前不具備此技能”，以使用戶(hù)相信該應(yīng)用程序沒(méi)有開(kāi)始，不再聽(tīng)。從那里開(kāi)始，Security Research Labs使該應(yīng)用程序“說(shuō)”“。”的字符序列。由于該序列不可發(fā)音，說(shuō)話(huà)者會(huì)沉默一段時(shí)間，從而強(qiáng)化了該應(yīng)用程序和說(shuō)話(huà)者當(dāng)前均未激活的觀念。

經(jīng)過(guò)一段合理的沉默期后，該應(yīng)用程序?qū)⒁灶?lèi)似于Alexa或Google Assistant使用的聲音播放偽造的更新警報(bào)。在上面看到的視頻中，此警報(bào)使智能揚(yáng)聲器看起來(lái)好像有可用的更新，并且用戶(hù)必須說(shuō)“開(kāi)始更新”，然后輸入密碼，以提示揚(yáng)聲器進(jìn)行安裝。由于在這種情況下，“開(kāi)始”是一個(gè)觸發(fā)詞，因此攻擊者會(huì)捕獲用戶(hù)的密碼，而受害者卻不知道他們只是將登錄憑據(jù)提供給了惡意的第三方。

我們中的許多人都知道，亞馬遜和Google不會(huì)通過(guò)Alexa或Assistant詢(xún)問(wèn)您的密碼，但是這種黑客是在不知道該用戶(hù)的用戶(hù)的無(wú)知下發(fā)揮作用。不用說(shuō)，如果您的智能揚(yáng)聲器要求您提供密碼或信用卡號(hào)之類(lèi)的個(gè)人信息，請(qǐng)不要放棄該信息。

第二個(gè)Smart Spies駭客更令人擔(dān)憂(yōu)，因?yàn)樗梢允鼓闹悄軗P(yáng)聲器在您認(rèn)為已停止應(yīng)用程序時(shí)繼續(xù)竊聽(tīng)對(duì)話(huà)。對(duì)于Echo設(shè)備和Google Home設(shè)備，執(zhí)行此攻擊的過(guò)程有所不同，但是兩種攻擊都依賴(lài)于在Amazon或Google批準(zhǔn)應(yīng)用程序后更改其運(yùn)行方式。

在這兩種情況下，攻擊都是通過(guò)使用戶(hù)認(rèn)為他們已經(jīng)停止了某個(gè)應(yīng)用程序而進(jìn)行的，而實(shí)際上該應(yīng)用程序仍在靜默運(yùn)行。再次使用字符序列“ ...”，并且在Echo設(shè)備上，此時(shí)應(yīng)用程序開(kāi)始監(jiān)聽(tīng)常見(jiàn)的觸發(fā)詞，例如“ I”，盡管這些觸發(fā)詞可以由攻擊者定義。用戶(hù)發(fā)出“停止”命令后，該應(yīng)用程序會(huì)監(jiān)聽(tīng)?zhēng)酌腌?，如果用?hù)說(shuō)出以該觸發(fā)詞開(kāi)頭的短語(yǔ)，該會(huì)話(huà)的內(nèi)容就會(huì)發(fā)送到攻擊者的服務(wù)器。

在Google Home上，此竊聽(tīng)漏洞有可能無(wú)限期運(yùn)行，不僅會(huì)持續(xù)竊聽(tīng)用戶(hù)，還會(huì)將用戶(hù)嘗試執(zhí)行的任何其他“ OK Google”命令發(fā)送給攻擊者。這意味著，當(dāng)智能揚(yáng)聲器所有者嘗試使用其他應(yīng)用程序時(shí)，該漏洞可能會(huì)被用于進(jìn)行中間人攻擊。

安全研究實(shí)驗(yàn)室(Security Research Labs)在發(fā)布報(bào)告之前向Google和Amazon都報(bào)告了這些攻擊，并表示兩家公司都需要對(duì)最終用戶(hù)實(shí)施更好的保護(hù)。SRLabs批評(píng)的核心是亞馬遜和谷歌采用的有缺陷的批準(zhǔn)流程，盡管研究人員還認(rèn)為，谷歌和亞馬遜應(yīng)該對(duì)使用不發(fā)音字符或無(wú)提示SSML消息的應(yīng)用采取行動(dòng)。

SRLabs認(rèn)為，亞馬遜和Google也應(yīng)禁止包含“密碼”的輸出文本，因?yàn)闆](méi)有真正的理由讓?xiě)?yīng)用程序首先要求那些。最后，SRLabs還表示，用戶(hù)應(yīng)謹(jǐn)慎使用新的智能揚(yáng)聲器技能和應(yīng)用程序，因?yàn)榇藞?bào)告清楚表明，創(chuàng)造性攻擊者可以在逃避亞馬遜和Google的注意的同時(shí)做很多事情。