安全研究人员周日报道,亚马逊和谷歌智能扬声器中的缺陷会使用户遭受窃听和语音钓鱼。
在研究安全研究实验室,一个黑客集体研究和咨询认为总部设在德国柏林,坦克发现,开发者可以创建恶意的应用程序为亚马逊和谷歌平台启动智能扬声器插入智能间谍。
研究人员使用该平台的标准开发接口,找到了一种从用户请求和收集用户数据(包括密码)的方法,并在他们认为智能扬声器停止收听后偷听用户。
尽管Amazon和Google在将语音应用程序用于其平台之前先对其进行了安全性审查,但允许开发人员在审查完成后进行更改。这使得研究人员在经过亚马逊和谷歌的审查后,可以向其语音应用程序添加恶意代码。
SRL研究人员Karsten Nohl解释说:“消费者在使用语音应用程序时需要意识到他们正在将数据发送给第三方。”“这些应用程序不需要安装在设备上,而是通过应用程序开发人员选择的短语来调用。”
他对TechNewsWorld表示:“因此,用户可能不知道他们正在使用第三方的服务。”“聪明的间谍黑客事件使这种情况更加紧迫,因为它们允许应用程序开发人员在应用程序停止运行后监听用户。”
关注,非常关注
加州海沃德的技术咨询公司Pund-IT的首席分析师查尔斯·金说,消费者应该担心单反相机研究人员的发现。
他告诉TechNewsWorld:“从本质上讲,SRL证明具有恶意功能的应用程序可以通过亚马逊和Google的审查程序。”
金说:“这与有关两家公司员工通过听取谈话侵犯客户隐私的消息一起,应该使任何人重新考虑使用亚马逊Alexa和Google Home产品。”
华盛顿关键基础设施技术研究所执行董事Parham Eftekhari指出,SLR报告增加了越来越多的研究,表明智能扬声器会降低隐私。直流电
他告诉TechNewsWorld:“无论是设备制造商为研发目的收集的音频,还是黑客利用的漏洞(如本报告中讨论的那样),消费者都需要了解,智能扬声器为生活带来的便利和功能是有代价的。”
总部位于伦敦的研究,分析和咨询公司IHS Markit负责智能家居研究的首席分析师布莱克·科扎克(Blake Kozak)指出,在SLR研究人员所采用的两项技术中,语音网络钓鱼最应该引起消费者的关注。
他告诉TechNewsWorld:“窃听对黑客而言将远没有价值,而且没有用。”“更有可能的是,黑客会使用一个易受攻击的设备来开采比特币,而不是过滤和分析潜在的数百万人的20秒或数百小时的录音,以找到有用的东西。”
扑灭不良应用
在收到恶意“技能”(亚马逊为其智能扬声器平台使用的应用程序的名称)的警报后,该公司阻止了研究人员创建的特定程序,并进行了更改以拒绝或阻止任何表现出令人讨厌行为的技能根据亚马逊发言人萨曼莎·克鲁斯(Samantha Kruse)提供给TechNewsWorld的信息,研究人员的应用程序的功能。
该公司表示,它已经采取了安全措施来阻止或删除要求亚马逊密码的技能。
尽管亚马逊解决了SLR所发现的缺陷,但它指出,它还没有看到要求客户提供密码或在SLR应用程序中显示其他行为的任何技能。
亚马逊发言人说:“重要的是我们继续与安全社区合作,以保护我们的客户。”“当收到潜在安全问题的警报时,我们将努力制定缓解措施,并将继续对报告给我们的其他事项进行缓解。我们有一支专门的团队致力于验证技能并确保客户的安全性。”
Google未回应我们对这个故事发表评论的要求。
认真对待安全
Pund-IT的金说:“值得赞扬的是,亚马逊和谷歌在了解问题后就非常善于解决问题。”
他继续说:“在这里做正确的事,我认为他们值得怀疑。”但是,在我看到有证据表明商誉是合理的之前,我仍然不给智能音箱插电。
位于凤凰城的高科技研究和咨询公司Tirias Research的首席分析师吉姆·麦格雷戈(Jim McGregor)指出,亚马逊和谷歌在识别其平台上的安全漏洞方面做了很多工作。
他对TechNewsWorld表示:“这些公司都非常重视安全性,但是从安全性或隐私性方面来说,只需花一个烂苹果就可以解决问题。”
安全WiFi路由器制造商位于圣地亚哥的Gryphon首席执行官John Wu指出,亚马逊和Google都可以做得更好,向消费者告知正在收集什么样的信息以及如何访问这些信息。
他对TechNewsWorld表示:“不仅很难访问该信息,而且有时收集到的信息是我们认为没有收集到的信息。”“我们发现其中一些设备在任务完成后持续录制音频10到15分钟,这与我们有关。”
亚马逊和谷歌最近的公告表明,他们正在获得有关消费者控制数据的信息。亚马逊在其Alexa数字助理中添加了一项功能,该功能允许用户删除其记录的所有内容,并询问其听到的内容以及为什么以某种方式做出响应。
Google也已根据其用户的命令授权其助手销毁数据。