已经发现了一种影响谷歌和亚马逊智能扬声器的新漏洞,其将有问题的产品转变为黑客的窃听和网络钓鱼工具。
来自SRLABS的安全研究人员发现,漏洞 - 被称为智能间谍 - 让黑客能够操纵智能扬声器,以便窃取毫无戒心的用户,以及用于用户密码的PHISH。
研究人员表明,所有黑客都需要做的是将恶意软件上传作为标准Alexa或Google操作,以便通过用户帐户默默地录制用户或获取密码。
此外,通过编码既不是Alexa或Google助手的符号可以发音,虚拟助手似乎会沉默,这将使用户认为任务已完成,但这不是这种情况。
经过一段时间的沉默,将出现一个新的消息,假装来自扬声器,要求寻求安全更新的密码。
自发现漏洞以来,SRLABS在发布了解释整个过程的博客之前,SRLABS私下披露了亚马逊和谷歌。
“我们惊讶地看到聪明的间谍黑客仍在向谷歌和亚马逊报告问题后仍然工作超过三个月(今年2月),”SRLABS发言人告诉。
“语音应用程序的评论需要明确搜索未经构造的字符,静默的SSML消息和类似密码的可疑输出文本。”
自从竞标的漏洞响应了这两家公司以便向用户安排他们正在努力解决这个问题。
“客户信任对我们很重要,我们将安全审查作为技能认证过程的一部分,”Amazon Spokesperson告诉Gizmodo。
“我们迅速阻止了问题的技能,并将缓解措施防止和检测这种类型的技能行为并在确定时拒绝或拒绝它们。”
“对于客户来说,我们也很重要,我们为我们的设备提供自动安全更新,并不会要求他们分享他们的密码。”
谷歌发言人告诉Gizmodo,我们需要遵循我们的开发者政策,禁止并删除任何违反这些政策的行动。
“我们有审查流程来检测本报告中描述的行为类型,我们删除了从这些研究人员中找到的操作。”
“我们正在提出额外的机制,以防止这些问题在未来发生。”
