http://nxtelecom.com.cn/

高德平臺研究表明,破解智能音箱相當容易

 


高德平臺(www.iwfda.com)主管Q554258報導。德國安全研究咨詢公司安全研究實驗室(security research Labs)在亞馬遜(Amazon)和谷歌上投下了一枚安全炸彈,對安全功能和評論的能力提出了質疑。
 
與所有這些披露的情況一樣,這些漏洞在被公開之前就已經與這兩家公司共享了。本周討論過的黑客攻擊現在已經由亞馬遜和谷歌解決了,盡管它確實證明了,如果這些設備在客廳里仍然存在,消費者需要獲得的意識。
 
“Alexa和谷歌Home功能強大,在私人環境中經常是有用的監聽設備,高德平臺”該公司在一篇博客文章中說。
 
“聯網麥克風監聽你所說內容的隱私含義比之前人們所理解的要深遠得多。用戶需要更多地意識到惡意語音應用程序濫用智能揚聲器的潛在危險。在使用新的語音應用程序時,應該像在智能手機上安裝新應用程序一樣謹慎。”
 
雖然現在已經沒有100%安全的東西了,但是Amazon和谷歌的能力還是受到了質疑。在數字經濟中,漏洞并不是什么新鮮事,盡管其中一些攻擊的簡單性讓互聯網經濟的“海報男孩”有點尷尬。
 
第一個黑客是相當了不起的,因為它是如此簡單。安全研究實驗室使用常規方法創建了一個應用程序,甚至提交了由Amazon和谷歌安全團隊審查的應用程序。一旦應用程序被綠燈亮起,團隊就會返回并更改功能,這并不會促使任何一個評審團隊進行第二次評審。
 
在這個例子中,安全研究實驗室創建了一個假的錯誤消息來代替歡迎消息,讓用戶認為應用程序沒有正確啟動,例如“這個應用程序在這個國家不可用”。在迫使說話者長時間保持沉默之后,會出現另一條請求安全更新許可的消息。在第二個消息期間,提示用戶更改密碼,然后捕獲密碼并將其發送回安全研究實驗室。
 
人們常說,最簡單的想法往往是最好的,黑客世界也是如此。網絡釣魚是通過電子郵件侵入個人賬戶的最簡單的手段之一,安全研究實驗室的這種方法實際上是一種轉化為語音用戶界面的網絡釣魚運動。
 
Amazon或谷歌當然不會以這種方式詢問用戶的密碼,但我們懷疑有許多用戶只是隨大流。根據賽門鐵克(Symantec)的一份安全報告,71.4%的針對性攻擊涉及使用魚叉式網絡釣魚郵件,因此這種方法顯然有效?,F在它可以應用到語音界面。
 
雖然丟失密碼令人擔憂,但安全研究實驗室(Security Research Lab)公布的第二種黑客手段則更為邪惡。
 
在Amazon和谷歌的安全團隊審查之后,為智能音箱設計的應用程序再次被修改,但是它是在音箱實際上停止傾聽用戶時進行修改的。通過引入第二個“意圖”(intent),該“意圖”鏈接到一個命令,讓智能音箱停止所有功能,可以擴展會話。
 
簡而言之,設備在將數據發送回攻擊者之前,高德平臺會繼續監聽并記錄其周圍環境。這顯然是一個非常簡單的解釋,為了獲得更多的細節,我們建議跟隨這個鏈接到安全研究實驗室博客。
 
這兩個例子都非常簡單,因為Amazon和谷歌的安全審查功能看起來就像一個打勾的練習。一旦第一次通過應用程序,更改似乎就會被忽略,從而為黑客提供了很大的自由。亞馬遜和谷歌現在都將引入新的流程來阻止這類攻擊,并改進安全審查系統,盡管這似乎是一個巨大的疏忽。
 
除了亞馬遜和谷歌的不足之外,安全研究實驗室或許還在展示數字經濟的一些最大危險;公眾意識的缺乏。大多數人下載應用程序時沒有檢查開發者的安全證書或聲譽,同樣的假設也適用于智能音箱生態系統的發展。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播更多信息之目的,如作者信息標記有誤,請第一時間聯系我們修改或刪除,多謝。

在线观看网站_在线a毛片免费视频观看_国产三级在线现免费观看