研究人員創(chuàng)建了可操縱Alexa和Echo漏洞的應(yīng)用

收到此問題警報(bào)的亞馬遜表示，現(xiàn)在將阻止其設(shè)備向用戶詢問密碼。

一組網(wǎng)絡(luò)安全顧問進(jìn)行的一項(xiàng)實(shí)驗(yàn)表明，亞馬遜和谷歌在確保用戶隱私和數(shù)據(jù)保護(hù)方面還有很長(zhǎng)的路要走。

來(lái)自德國(guó)的Security Research Labs的顧問設(shè)法繞開了科技巨頭的評(píng)論，發(fā)布了八種語(yǔ)音應(yīng)用程序，它們能夠通過亞馬遜的Echo和Google的Nest設(shè)備收聽人們的對(duì)話。

Cnet報(bào)告說，研究人員開發(fā)了星座應(yīng)用程序，當(dāng)系統(tǒng)提示時(shí)，將以錯(cuò)誤消息響應(yīng)。但是，與其像合法應(yīng)用程序那樣結(jié)束錄制過程，不如說這些應(yīng)用程序?qū)⒗^續(xù)在后臺(tái)監(jiān)聽。

文章指出，研究人員通過插入特殊的Unicode字符序列“ U”(D + D801，點(diǎn)，空格)來(lái)模擬靜默，設(shè)備無(wú)法發(fā)音。設(shè)備的文本到語(yǔ)音AI將嘗試以任何方式發(fā)音，在此期間會(huì)引起差距，隨后誘使人們以為設(shè)備實(shí)際上已完成任務(wù)，而實(shí)際上它仍在后臺(tái)監(jiān)聽和記錄。

據(jù)報(bào)道，對(duì)話記錄不僅發(fā)送給了亞馬遜和谷歌，而且還發(fā)送給了第三方研究人員。

最重要的是，研究人員還聲稱，他們可以使用這些應(yīng)用程序來(lái)誘騙用戶提供密碼。例如，在沉默一段時(shí)間后，該代碼可能會(huì)提示語(yǔ)音助手說“設(shè)備上有重要的安全更新可用。請(qǐng)先說'開始更新'，然后再輸入密碼”。

對(duì)此問題有所警覺的亞馬遜表示，現(xiàn)在將阻止其設(shè)備向用戶詢問密碼，并提醒所有人，該公司不會(huì)要求任何人通過Echo共享其私人詳細(xì)信息。

Google還在聲明中說：“我們已經(jīng)審查了檢測(cè)該報(bào)告中描述的行為類型的流程，并刪除了從這些研究人員中發(fā)現(xiàn)的操作。我們正在采用其他機(jī)制來(lái)防止這些問題在網(wǎng)站上發(fā)生。”

此后已刪除了八個(gè)應(yīng)用程序。