10月21日消息���,據(jù)外媒報(bào)道��,德國(guó)安全研究實(shí)驗(yàn)室(SRLabs)的網(wǎng)絡(luò)安全研究人員公布最新發(fā)現(xiàn)稱����,在用戶不知情的情況下�,黑客可以利用亞馬遜智能助手Alexa和谷歌智能助手Google Assistant竊聽(tīng)用戶對(duì)話����,或欺騙用戶交出敏感信息。
事實(shí)上��,這些攻擊在技術(shù)上并不新鮮�。網(wǎng)絡(luò)安全研究人員早在2018年4月就曾在亞馬遜Alexa中發(fā)現(xiàn)類似的網(wǎng)絡(luò)釣魚(yú)和竊聽(tīng)行為。此后��,2018年5月和8月�����,研究人員再次發(fā)現(xiàn)這個(gè)漏洞影響Alexa和Google Home設(shè)備����。亞馬遜和谷歌每次都部署了對(duì)策,但利用智能助手的新攻擊仍不斷涌現(xiàn)�。
這個(gè)漏洞最早是德國(guó)安全研究實(shí)驗(yàn)室(SRLabs)的兩名安全研究人員路易斯·弗雷里希斯(Luise Frerichs)和法比安·布勞雷恩(Fabian Br?unlein)首先發(fā)現(xiàn)的,他們所在的團(tuán)隊(duì)今天公布了最新發(fā)現(xiàn)�����。
網(wǎng)絡(luò)釣魚(yú)和竊聽(tīng)用戶對(duì)話都可以通過(guò)亞馬遜和谷歌向Alexa或Google Home自定義應(yīng)用程序的開(kāi)發(fā)者提供的后端進(jìn)行。這些后端提供了對(duì)功能的訪問(wèn)��,開(kāi)發(fā)者可以使用這些功能來(lái)自定義智能助手響應(yīng)的命令���,以及它們給出回復(fù)的方式���。
SRLabs團(tuán)隊(duì)通過(guò)在普通Alexa或Google Home應(yīng)用程序后臺(tái)的不同位置添加“ ”字符序列發(fā)現(xiàn)了上述漏洞,在智能助手保持活躍期間���,這些字符可以誘導(dǎo)長(zhǎng)時(shí)間的沉默����。研究人員甚至親自演示展示了黑客如何在兩個(gè)設(shè)備上執(zhí)行網(wǎng)絡(luò)釣魚(yú)攻擊的過(guò)程�。
例如,在演示中�,某個(gè)應(yīng)用程序觸發(fā)錯(cuò)誤,但隨后仍保持活動(dòng)狀態(tài)���,并最終要求用戶提供其亞馬遜或谷歌賬戶密碼��,同時(shí)偽造來(lái)自亞馬遜或谷歌自身的更新消息��。在此期間,Alexa始終保持著活動(dòng)狀態(tài)且從未關(guān)閉,這清楚地表明之前的應(yīng)用程序仍然處于活動(dòng)狀態(tài)�����,并忙于解釋一長(zhǎng)串的“ ”字符序列��。
“ ”也可以以類似的方式用于發(fā)動(dòng)竊聽(tīng)攻擊��。然而����,這是在惡意應(yīng)用程序響應(yīng)用戶的命令之后使用字符序列實(shí)現(xiàn)的。字符序列用于使設(shè)備保持活動(dòng)狀態(tài)�,并記錄用戶的對(duì)話,這些對(duì)話被記錄在日志中��,并發(fā)送到黑客的服務(wù)器上進(jìn)行處理�。
這兩種攻擊都利用了這樣一個(gè)事實(shí),即雖然亞馬遜和谷歌在提交Alexa和Google Home應(yīng)用程序時(shí)對(duì)它們進(jìn)行驗(yàn)證和審查�,但它們不會(huì)對(duì)隨后的應(yīng)用程序更新執(zhí)行相同的操作。
在給媒體的電子郵件中�,SRLabs團(tuán)隊(duì)表示,他們?cè)诮衲暝缧⿻r(shí)候向兩家供應(yīng)商報(bào)告了這個(gè)問(wèn)題�����,但兩家公司都沒(méi)有解決這個(gè)漏洞。SRLabs團(tuán)隊(duì)稱:“發(fā)現(xiàn)和禁止諸如長(zhǎng)時(shí)間停頓之類的意外行為應(yīng)該相對(duì)簡(jiǎn)單����。但令人感到驚訝的是,自幾個(gè)月前報(bào)告漏洞以來(lái)��,這種情況似乎并未改善���。”
亞馬遜沒(méi)有回應(yīng)置評(píng)請(qǐng)求��。谷歌發(fā)言人表示:“谷歌上的所有行為都需要遵循我們的開(kāi)發(fā)者政策�,我們禁止并刪除任何違反這些政策的行為����。我們通過(guò)審查流程來(lái)檢測(cè)和刪除各類報(bào)告中描述的違禁行為。我們正在建立額外的機(jī)制���,以防止未來(lái)發(fā)生這些問(wèn)題��。”
谷歌還希望Google Assistant的所有者知道�����,他們的設(shè)備永遠(yuǎn)不會(huì)要求他們提供賬戶密碼�����,而且谷歌員工目前正在審查所有第三方應(yīng)用程序的操作行為����。(騰訊科技審校/金鹿)
鄂公網(wǎng)安備 42112402000149號(hào)