就在亚马逊和谷歌拼命说服我们的时候他们不会听我们说的每句话美国安全研究人员已经证明,这些设备是多么容易被黑客侵入将偷听你的谈话。还有——只是为了搞笑——钓鱼获取你的密码。
一个德国研究小组安全研究实验室发现了一个他们称之为“智能间谍”的漏洞。通过各种技巧,它在Alexa或谷歌的响应中添加了长时间的停顿,让你认为它不再在听。乐动-app下载
然后,它会模仿Alexa或谷歌,提示你更新你的设备,并要求你提供密码等个人乐动-app下载身份信息,或者只是继续监听并记录你的对话,将你说的话转录下来,并将文本发送给黑客。
根据一份报告ArsTechnica虽然亚马逊和谷歌在将技能和动作添加到平台之前都会审查它们,但更新不会被审查,所以一个看似无害的应用程序可能会在没有人知道的情况下变得流氓。
安全研究人员开发了8个应用程序——4个Alexa Skills和4个谷歌Home Actions,它们能够乐动-app下载做到这一点。主要是简单的星座应用程序,他们能够在幕后监听或说服用户放弃密码或电子邮件地址。
在一个电子邮件到Gizmodo美国安全研究实验室(Security Research Labs)表示,该漏洞是在今年2月发现的。他们写道:“我们惊讶地发现,在向谷歌和亚马逊报告问题三个多月后,Smart Spies的黑客攻击仍然有效。”乐动PK10
这些应用程序已不再可用,但你可以在研究人员发布的YouTube视频中看到它们如何工作的演示他们的博客页面.
他们在博客上写道:“用户需要更多地意乐动PK10识到恶意语音应用程序滥用智能音箱的潜力。”“使用一款新的语音应用,应该像在智能手机上安装一款新应用一样谨慎。”
用户需要更多地意识到恶意语音应用程乐动PK10序滥用智能音箱的潜力
安全研究实验室与这些公司分享了研究结果,并建议他们对第三方技能和行动实施更彻底的审查流程。乐动PK10
亚马逊对该组织的回应如下:
“客户的信任对我们来说很重要,我们将安全审查作为技能认证过程的一部分。我们迅速阻止了有问题的技能,并采取了缓解措施来预防和检测这种类型的技能行为,并在发现时拒绝或删除它们。”
他们还表示,他们已经采取了“缓解措施”来防止所提出的问题,并指出用户永远不应该通过语音与设备分享他们的密码,任何对此类信息的请求都不是来自亚马逊。
谷歌的反应也类似。“谷歌上的所有操作都必须遵循我们的开发人员政策,我们禁止并删除任何违反这些政策的行为。我们有审查流程来检测本报告中描述的行为类型,我们删除了我们从这些研究人员身上发现的行为。我们正在建立额外的机制,以防止这些问题在未来发生。”
据研究人员称,目前几乎没有证据表明有任何此类应用程序威胁到Alexa和谷歌家庭用户,但这些设备的用户需要对智能音箱上的任何可疑活动保持警惕。乐动-app下载
