google智能设备_ 亚马逊谷歌智能助手再曝安全漏洞 存在网络钓鱼和窃听用户行为

腾讯科技讯于10月21日对外媒体报道,德国安全实验室( SRLabs )的网络安全研究员,在用户不知情的情况下,黑客利用亚马逊智能助手Alexa和谷歌智能助手GoogleAssistant窃听用户对话,欺骗用户

事实上,这些攻击在技术上并不新鲜。 网络安全研究者于2018年4月在亚马逊Alexa发现了同样的网络钓鱼和窃听行为。 2018年5月和8月,研究人员再次发现这一漏洞对Alexa和Google家庭设备产生了影响。 亚马逊和谷歌每次都展开对策,但是利用智能助手的新攻击接连不断。

这个漏洞最初是德国安全研究室( SRLabs )的2名安全研究者路易斯·弗雷利西斯和法比安·布朗发现的,他们所属的团队今天发表了最新的发现。

可以在亚马逊和谷歌为Alexa或谷歌家庭定制应用程序开发人员提供的后端进行网络钓鱼和窃听用户交互。 这些后端提供对功能的访问,开发人员可以自定义定义智能助手响应的命令及其响应方式。

SRLabs团队通过在常规Alexa或Google Home应用程序背景的不同位置添加“”字符串来发现上述漏洞,并且在代理程序正在运行时,这些字符可以导致较长的静默。 研究人员亲自演示了黑客如何在两个设备上进行钓鱼攻击。

例如,在演示中,某个应用程序发生了错误,但是之后仍处于活动状态,被要求输入亚马逊和谷歌的帐户密码,伪造来自亚马逊和谷歌自身的更新信息。 在此期间,Alexa未处于活动状态并关闭。 这表明先前的应用程序是活动的,并且正在进行长字符串解释。

“”也可以用于窃听攻击。 但是,这是在恶意应用程序响应用户命令后使用字符序列实现的。 字符序列用于激活设备并记录用户对话,这些对话记录在日志中,然后传送到黑客服务器进行处理。

这两次攻击都利用了亚马逊和谷歌在提交Alexa和Google Home应用程序时进行了验证和确认,但之后没有对应用程序更新执行相同的操作这一事实。

在给媒体的电子邮件中,SRLabs团队说他们在今年早些时候向两家公司的供应商报告了这个问题,但是两家公司都没有解决这个漏洞。 SRLabs团队说:“发现长时间停止等意外行为,禁止必须比较简单。 但令人吃惊的是,自从数月前报告脆弱性以来,这种状况似乎没有得到改善。

亚马逊没有接受评价委托。 谷歌发言人说:“谷歌上的一切行为都必须遵循我们开发者的政策,我们必须禁止和删除违反这些政策的行为。 我们通过审查流程,检测并删除各种报告书中记载的违禁行为。 我们正在建立额外的机制,防止未来发生这样的问题。 ’他说

谷歌还希望通知谷歌助理的所有者它们的设备未请求帐户密码,谷歌员工目前正在检查所有第三方应用程序的运行情况。 (腾讯科技审校/金鹿)

大家都在看

相关专题