http://nxtelecom.com.cn/

高德平台研究表明,破解智能音箱相当容易



 
高德平台(www.nxtelecom.com.cn)主管Q554258报导。德国安全研究咨询公司安全研究实验室(security research Labs)在亚马逊(Amazon)和谷歌上投下了一枚安全炸弹,对安全功能和评论的能力提出了质疑。
 
与所有这些披露的情况一样,这些漏洞在被公开之前就已经与这两家公司共享了。本周讨论过的黑客攻击现在已经由亚马逊和谷歌解决了,尽管它确实证明了,如果这些设备在客厅里仍然存在,消费者需要获得的意识。
 
“Alexa和谷歌Home功能强大,在私人环境中经常是有用的监听设备,高德平台”该公司在一篇博客文章中说。
 
“联网麦克风监听你所说内容的隐私含义比之前人们所理解的要深远得多。用户需要更多地意识到恶意语音应用程序滥用智能扬声器的潜在危险。在使用新的语音应用程序时,应该像在智能手机上安装新应用程序一样谨慎。”
 
虽然现在已经没有100%安全的东西了,但是Amazon和谷歌的能力还是受到了质疑。在数字经济中,漏洞并不是什么新鲜事,尽管其中一些攻击的简单性让互联网经济的“海报男孩”有点尴尬。
 
第一个黑客是相当了不起的,因为它是如此简单。安全研究实验室使用常规方法创建了一个应用程序,甚至提交了由Amazon和谷歌安全团队审查的应用程序。一旦应用程序被绿灯亮起,团队就会返回并更改功能,这并不会促使任何一个评审团队进行第二次评审。
 
在这个例子中,安全研究实验室创建了一个假的错误消息来代替欢迎消息,让用户认为应用程序没有正确启动,例如“这个应用程序在这个国家不可用”。在迫使说话者长时间保持沉默之后,会出现另一条请求安全更新许可的消息。在第二个消息期间,提示用户更改密码,然后捕获密码并将其发送回安全研究实验室。
 
人们常说,最简单的想法往往是最好的,黑客世界也是如此。网络钓鱼是通过电子邮件侵入个人账户的最简单的手段之一,安全研究实验室的这种方法实际上是一种转化为语音用户界面的网络钓鱼运动。
 
Amazon或谷歌当然不会以这种方式询问用户的密码,但我们怀疑有许多用户只是随大流。根据赛门铁克(Symantec)的一份安全报告,71.4%的针对性攻击涉及使用鱼叉式网络钓鱼邮件,因此这种方法显然有效。现在它可以应用到语音界面。
 
虽然丢失密码令人担忧,但安全研究实验室(Security Research Lab)公布的第二种黑客手段则更为邪恶。
 
在Amazon和谷歌的安全团队审查之后,为智能音箱设计的应用程序再次被修改,但是它是在音箱实际上停止倾听用户时进行修改的。通过引入第二个“意图”(intent),该“意图”链接到一个命令,让智能音箱停止所有功能,可以扩展会话。
 
简而言之,设备在将数据发送回攻击者之前,高德平台会继续监听并记录其周围环境。这显然是一个非常简单的解释,为了获得更多的细节,我们建议跟随这个链接到安全研究实验室博客。
 
这两个例子都非常简单,因为Amazon和谷歌的安全审查功能看起来就像一个打勾的练习。一旦第一次通过应用程序,更改似乎就会被忽略,从而为黑客提供了很大的自由。亚马逊和谷歌现在都将引入新的流程来阻止这类攻击,并改进安全审查系统,尽管这似乎是一个巨大的疏忽。
 
除了亚马逊和谷歌的不足之外,安全研究实验室或许还在展示数字经济的一些最大危险;公众意识的缺乏。大多数人下载应用程序时没有检查开发者的安全证书或声誉,同样的假设也适用于智能音箱生态系统的发展。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。