1通比牛牛-Alexa和Google Home曝重大漏洞,黑客可监听并窃取密码

时间:2021-03-05 作者:谷歌

智慧之物(微信官方账号:zhidxcom)

编辑|彭云

导语:你的智能语音助手可能会成为钓鱼和钓鱼的工具。

据外媒报道,安全研究实验室(以下简称SRLabs)的研究人员近日发现,在Alexa和Google Home中有一个显著的单向牛,单向牛可以伪装成Alexa功能或Google Home中的三方程序,实现用户* * * * * *和信息窃取。

SRLabs的研究人员说,通过“喂养”这些智能助手他们不会发音的字符,他们可以让助手在沉默的同时接收用户信息。但SRLabs在披露这些1通多头之前已经提前通知了亚马逊和谷歌,两者都做了相应的调整。但一通的宣传无疑是对用户安全意识的警钟。

第一,巧妙伪装

图片来源:SRLabs

SRLabs的研究人员发现,1-pass-by-1-pass-by-1-pass-by-1-pass-by-1-pass-by-1-pass-by-1-pass-1-pass-1-pass-1-pass-1-pass-2-pass-1-pass-1-pass-1-pass-1-pass-1-pass-2-pass-1-pass-1-pass-1-pass-1-pass-1-pass-1-1-pass-1-

对于Google Home来说,1通牛牛可以通过第三方软件植入恶意程序。执行完用户的初始命令后,它会长时间保持沉默,但实际上它一直处于监控模式,用户说的每一句话都会被记录和转发。

在Alexa这边,它的八字功能已经成为一个突破,犯罪分子可以让这个功能忽略用户发出的“停止”命令,从而长期保持沉默,实现监控。

此外,1通牛牛还可以通过扬声器发送虚假信息,误导用户给出密码。

其实SRLabs只是用两个语音助手中的一个来做单向比较,也就是把这些智能助手“喂”进一些他们不会发音的单词或字符,这样用户就会觉得说话人什么都没说,已经执行了命令。但实际上说话人还在等待其他命令,所以会持续监听很长时间,以获取用户信息。

二、1通币牛牛已修复

按理说,智能音箱的第三方应用只有经过谷歌和亚马逊的严格审查才能上架,这样的事件应该不会发生。但据外媒报道,两家公司并不检查现有应用的更新情况,因此研究人员有机会植入恶意代码以达到控制。

SRLabs在披露这种一步到位的比较之前,已经提前通知了谷歌和亚马逊。

谷歌已经加强了对这种行为的检查,并删除了研究人员创造的“小把戏”。而且对第三方程序的审核也比较严格;亚马逊也采取了新措施,一旦发现此类行为,将限制使用扬声器相关功能。

国外媒体指出,这不是研究人员第一次把Alexa或者Google Home变成* * * * * *工具。目前,用户最好的方式是选择可信的公司和三方程序,在使用过程中更加注意个人信息的安全。

结论:智能语音供应商应始终牢记安全性

自从亚马逊的Echo敲开了智能音箱市场的大门,这个行业就开启了野蛮成长之路。各种智能语音设备层出不穷。

在给人们带来“现代”和“智能”体验的同时,隐私、安全等问题也在舆论中被提及。一方面,用户在选择三方应用时需要擦亮眼睛,提高安全意识;另一方面,厂家必须肩负起自己的责任,严格把关,从源头上切断隐患,做到“治本”。

原文来自:Theverge

亚马逊1通比牛

智慧的东西

声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。