免费信息发布

亚马逊谷歌智能助手再曝安全漏洞 存在网络钓鱼和窃听用户行为

来源:网络推荐 浏览:362次 时间:2019-10-21

据外媒报道,德国安全研究实验室(SRLabs)的网络安全研究人员公布最新发现称,在用户不知情的情况下,黑客可以利用亚马逊智能助手Alexa和谷歌智能助手Google Assistant窃听用户对话,或欺骗用户交出敏感信息。

事实上,这些攻击在技术上并不新鲜。网络安全研究人员早在2018年4月就曾在亚马逊Alexa中发现类似的网络钓鱼和窃听行为。此后,2018年5月和8月,研究人员再次发现这个漏洞影响Alexa和Google Home设备。亚马逊和谷歌每次都部署了对策,但利用智能助手的新攻击仍不断涌现。

这个漏洞最早是德国安全研究实验室(SRLabs)的两名安全研究人员路易斯·弗雷里希斯(Luise Frerichs)和法比安·布劳雷恩(Fabian Br?unlein)首先发现的,他们所在的团队今天公布了最新发现。

网络钓鱼和窃听用户对话都可以通过亚马逊和谷歌向Alexa或Google Home自定义应用程序的开发者提供的后端进行。这些后端提供了对功能的访问,开发者可以使用这些功能来自定义智能助手响应的命令,以及它们给出回复的方式。

SRLabs团队通过在普通Alexa或Google Home应用程序后台的不同位置添加“ ”字符序列发现了上述漏洞,在智能助手保持活跃期间,这些字符可以诱导长时间的沉默。研究人员甚至亲自演示展示了黑客如何在两个设备上执行网络钓鱼攻击的过程。

例如,在演示中,某个应用程序触发错误,但随后仍保持活动状态,并最终要求用户提供其亚马逊或谷歌账户密码,同时伪造来自亚马逊或谷歌自身的更新消息。在此期间,Alexa始终保持着活动状态且从未关闭,这清楚地表明之前的应用程序仍然处于活动状态,并忙于解释一长串的“ ”字符序列。

“ ”也可以以类似的方式用于发动窃听攻击。然而,这是在恶意应用程序响应用户的命令之后使用字符序列实现的。字符序列用于使设备保持活动状态,并记录用户的对话,这些对话被记录在日志中,并发送到黑客的服务器上进行处理。

这两种攻击都利用了这样一个事实,即虽然亚马逊和谷歌在提交Alexa和Google Home应用程序时对它们进行验证和审查,但它们不会对随后的应用程序更新执行相同的操作。

在给媒体的电子邮件中,SRLabs团队表示,他们在今年早些时候向两家供应商报告了这个问题,但两家公司都没有解决这个漏洞。SRLabs团队称:“发现和禁止诸如长时间停顿之类的意外行为应该相对简单。但令人感到惊讶的是,自几个月前报告漏洞以来,这种情况似乎并未改善。”

亚马逊没有回应置评请求。谷歌发言人表示:“谷歌上的所有行为都需要遵循我们的开发者政策,我们禁止并删除任何违反这些政策的行为。我们通过审查流程来检测和删除各类报告中描述的违禁行为。我们正在建立额外的机制,以防止未来发生这些问题。”

谷歌还希望Google Assistant的所有者知道,他们的设备永远不会要求他们提供帐户密码,而且谷歌员工目前正在审查所有第三方应用程序的操作行为。

来源:腾讯科技