Alexa和Google Home的间谍应用很容易通过批准

德国组织安全研究实验室已经证明,可以为Alexa和Google Home创建恶意应用,并且它们可以通过安全审查。该公司成功创建了八个这样的应用程序,它们被称为“ Smart Spies”。每个都被设计为监听或网络钓鱼,然后每个都被Amazon和Google批准。

SRLabs的高级安全顾问Fabian Braunlein告诉Ars Technica: “很明显,这些语音助手会涉及隐私-Google和Amazon会收到您的讲话,而这有时可能是偶然触发的。”

他继续说:“我们现在表明,不仅制造商,而且……黑客也可以滥用这些语音助手来侵犯某人的隐私。”

在用户应该停止收听之后,Alexa上的Smart Spies技能或Google Home上的操作都可以对用户进行窃听。有些是网络钓鱼,它们告诉用户有更新并要求输入密码。

根据SRLabs文档,该公司依靠Alexa语音技能的某些元素在通过亚马逊的审查流程后可以进行更改。

它还利用开发人员在Alexa技能或Google动作的语音输出中插入很长的停顿的功能。这可以通过要求任一智能扬声器反复说出一系列不可发音的ASCII或ISO代码来实现。

这意味着语音应用程序将保持静音状态,因此似乎已经结束,而实际上它们要等待一分钟才能提出网络钓鱼问题。

SRLabs向亚马逊和谷歌披露了这些应用程序及其研究成果,而这两家公司现已将其删除。然后,两家公司都对SRLabs做出了回应,要求阻止再次这样做。

亚马逊发言人在写给SRLabs的书面声明中说:“对于提交认证的技能,这不再可能。” “我们已经采取了缓解措施,以防止和发现这种技能行为,并在发现后予以拒绝或取消。”

谷歌发言人在类似的声明中说:“所有针对Google的操作都必须遵守我们的开发人员政策,我们禁止并删除任何违反这些政策的操作。”

Google发言人继续说:“我们已经进行了审查,以检测本报告中描述的行为类型,并删除了从这些研究人员中发现的操作。” “我们正在采用其他机制来防止将来发生这些问题。”

Ars Technica报告称,Google现在正在审查所有第三方Google Home操作。

SRLabs没有在Apple的HomePod上放置任何Smart Spies ,因为它目前不支持第三方操作。

以前,据报道,亚马逊使用数千名工人来监视发布给该公司智能扬声器和其他设备的语音命令的录音。Google也做了同样的事情,苹果。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。