Google和Amazon批准了针对用户的家用扬声器应用程序
这些应用程序也可以用于网络钓鱼攻击。
隐私是智能扬声器领域中的热门话题,从员工收听录音到审计人员访问用户位置的过程中。现在,在安全研究人员透露亚马逊Alexa和Google Home平台接受的应用程序可以用来诱骗用户并对其进行窃听之后,又出现了另一个与扬声器有关的问题。
安全研究实验室公司(Security Research Labs)的研究人员创建了名为Alexa的技能和Google Home的Actions的应用程序,这些应用程序利用安全漏洞对设备进行了入侵,如Ars Technica报道。SRL为每个平台创建了多个应用程序,这些应用程序看起来像星座应用程序一样是合法技能,但实际上隐藏了恶意代码。
这些应用程序能够收集包括密码在内的个人数据,并且即使在用户认为说话者不再收听后也可以窃听用户的声音。该应用程序的工作原理是发出伪造的错误消息,听起来好像已经关闭了,而实际上它仍在继续运行并记下了用户在此刻之后所说的所有内容的笔录。
所有恶意应用均已得到审核小组的批准,并且只有在研究人员向亚马逊和谷歌披露此问题后才被删除。SLR研究人员总结说:“为了防止“智能间谍”攻击,亚马逊和谷歌需要实施更好的保护,首先要对其语音应用商店中提供的第三方技能和行为进行更彻底的审查。
两家公司都表示,他们现在正在加强其应用程序审查程序,但是在Google Play商店等平台上恶意智能手机应用程序的普遍性表明,安全审查应用程序的任务有多么困难。
SLR还为智能扬声器用户提供了建议:“连接互联网的麦克风收听您所说的内容所带来的隐私影响比以前理解的要深远。用户需要更加意识到恶意语音应用滥用其智能的潜力。扬声器。使用新语音应用程序时应与在智能手机上安装新应用程序时保持类似的谨慎程度。”