Google和Amazon批準(zhǔn)了針對(duì)用戶的家用揚(yáng)聲器應(yīng)用程序

這些應(yīng)用程序也可以用于網(wǎng)絡(luò)釣魚攻擊。

隱私是智能揚(yáng)聲器領(lǐng)域中的熱門話題，從員工收聽錄音到審計(jì)人員訪問用戶位置的過程中?，F(xiàn)在，在安全研究人員透露亞馬遜Alexa和Google Home平臺(tái)接受的應(yīng)用程序可以用來誘騙用戶并對(duì)其進(jìn)行竊聽之后，又出現(xiàn)了另一個(gè)與揚(yáng)聲器有關(guān)的問題。

安全研究實(shí)驗(yàn)室公司(Security Research Labs)的研究人員創(chuàng)建了名為Alexa的技能和Google Home的Actions的應(yīng)用程序，這些應(yīng)用程序利用安全漏洞對(duì)設(shè)備進(jìn)行了入侵，如Ars Technica報(bào)道。SRL為每個(gè)平臺(tái)創(chuàng)建了多個(gè)應(yīng)用程序，這些應(yīng)用程序看起來像星座應(yīng)用程序一樣是合法技能，但實(shí)際上隱藏了惡意代碼。

這些應(yīng)用程序能夠收集包括密碼在內(nèi)的個(gè)人數(shù)據(jù)，并且即使在用戶認(rèn)為說話者不再收聽后也可以竊聽用戶的聲音。該應(yīng)用程序的工作原理是發(fā)出偽造的錯(cuò)誤消息，聽起來好像已經(jīng)關(guān)閉了，而實(shí)際上它仍在繼續(xù)運(yùn)行并記下了用戶在此刻之后所說的所有內(nèi)容的筆錄。

所有惡意應(yīng)用均已得到審核小組的批準(zhǔn)，并且只有在研究人員向亞馬遜和谷歌披露此問題后才被刪除。SLR研究人員總結(jié)說：“為了防止“智能”攻擊，亞馬遜和谷歌需要實(shí)施更好的保護(hù)，首先要對(duì)其語音應(yīng)用商店中提供的第三方技能和行為進(jìn)行更徹底的審查。

兩家公司都表示，他們現(xiàn)在正在加強(qiáng)其應(yīng)用程序?qū)彶槌绦颍窃贕oogle Play商店等平臺(tái)上惡意智能手機(jī)應(yīng)用程序的普遍性表明，安全審查應(yīng)用程序的任務(wù)有多么困難。

SLR還為智能揚(yáng)聲器用戶提供了建議：“連接互聯(lián)網(wǎng)的麥克風(fēng)收聽您所說的內(nèi)容所帶來的隱私影響比以前理解的要深遠(yuǎn)。用戶需要更加意識(shí)到惡意語音應(yīng)用濫用其智能的潛力。揚(yáng)聲器。使用新語音應(yīng)用程序時(shí)應(yīng)與在智能手機(jī)上安裝新應(yīng)用程序時(shí)保持類似的謹(jǐn)慎程度。”