Alexa、Google Home被發現新竊聽及「語音釣魚」方法

研究人員發現 Alexa 和 Google Home 存在新漏洞,讓犯罪份子能夠藉此對用戶進行間諜活動,而且這次並不止是竊聽,還可以進行語音釣魚,使用語音來確定密碼。

兩個 App 突破保安
這次的漏洞發生在由開發者製作的兩個小應用程式,一個是 Skills 用於 Alexa,另一個是用於 Google Home 的 Actions,這兩個應用程式的漏洞令用戶有機會被竊聽,甚至語音釣魚用戶的密碼。研究人員把這次的發現稱為 Smart Spies,是針對同類型裝置發動攻擊的統稱,而這次的發現也不意外地讓黑客有多種不同的方法,從家居助手存取或錄取個人訊息,研究人員提示用戶應該更加注意,惡意的語音應用程式在語音家居助手的風險,並且已經把這次的發現通知 Amazon 和 Google。

新的作惡可能性
通過標準開發端口讓第三方延伸裝置的功能,研究人員早已發現兩種方法入侵私隱資料,第一個是要收和收集個人數據,例如用戶的密碼,第二個是在用戶以為裝置已經不再聆聽的情況下繼續竊聽,而這次研究人員找到第三個可能性並稱之為「Building Blocks」。首先,他們先收伏「Fallback Intent」,這是語意應用程式預設的功能,當無法分配用戶最近的語音指令到相關服務時,就會要求用戶重複指令。

第二步是竊聽指定的 Alexa用戶,這階段研究人員示範了把已通過檢視程序的應用程式,變更裝置上的「停止」指令到其他功能。最後是入侵 Alexa 和 Google 由文字轉成語音的引擎,讓研究人員在話語輸出時插入更長停頓時間,研究人員列出了幾種情況下可以透過以上技術,通過 Alexa 和 Google Home 讓用戶交出密碼或容許裝置盜聽,例如進行密碼釣魚去欺騙 Alexa 或 Google Home,令用戶自行說出密碼然後背後傳送到黑客手上。

其實研究人員並非第一次發現,開發資源容易就被濫用變成智能裝置的安全漏洞,在 2018 年 5 月就有學術研究發現誘騙用戶打開惡意應用程式的攻擊手法,從而進行竊聽或盜錄行為。

資料來源:Threat Post