本文主要是介绍Alexa是这么骗走老司机密码的,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
西雅图IT圈:seattleit
【今日作者】
Powerball选号机
身体和灵魂总有一个要
走在买PowerBall的路上
用户们对智能音箱的爱恨纠葛已经不是新话题了,亚马逊在上个月发布了Alexa的 删除对话历史记录 新功能,目的是 提升用户隐私保护。
俗话说不怕贼偷怕贼惦记,对Alexa和Google home等智能音箱上发布的第三方应用来说,想要骗取用户密码,甚至在未唤醒状态下偷听,其实都不难。
近日亚马逊和Google下架了几个智能语音钓鱼应用,这些“智能钓鱼软件”以星座分析App或者随机数生成App为掩饰,都通过了两个平台审核公开发布,也成功盗取了部分用户密码。
有人会说,哪有人这么轻易把密码告诉Alexa或者Google?
不如看看它们的行骗步骤再下结论?
以其中一个星座解析app为例:
首先,开发者将这个看似人畜无害的app发到Google Home的app平台上,申请审核;
审核通过后,开发者更改app,把最开始的问候语改成类似设备故障的提示,比如说“此功能在你所在地区无法使用。”许多用户听到这个提示会认为app并未运行或者已经关闭;
在问候词的后面加上长时间停顿,这一功能可以通过在问候词里加入不可读的字符实现。这样可以加深用户认知,觉得app已经退出了;
大段停顿后,app发出类似系统提示的指令,比如:“您的设备有重要安全更新,请说‘开始更新’并提供密码。”
如果此时警惕性不高的用户或者家中小朋友信以为真给出密码的话,App就钓鱼成功了。
在此提醒大家,在任何平台、任何应用、点开的任何链接上都不要轻易泄露密码,本着这个原则可以避开大部分钓鱼攻击。
但是智能音箱还有一种特有的安全隐患,叫做偷听。
在Amazon Echo里一个偷听App是这样实现的:
首先,开发者在App平台发布一个人畜无害的随机数生成App,等待审核;
此时的App可以识别2个关键词,一个是“Stop”,另一个是任意一个常用词,比如“like”;若app捕捉到用户说出两个关键词中任意一个,就开始记录用户语音;
通过审核后,开发者更改App,在“Stop”关键词触发后回复一个Goodbye,再接一个大段停顿,这样用户角度看起来像是App已经停止了;
如果用户在随后的私下谈话里说出了“like”,关键词被触发但App不给出回应,直接记录随后的用户语音输入,偷听达成。
值得一提的是这种偷听方法在Echo上只能通过关键词触发一个回合,但在Google home上可以无限循环的偷听。
具体实现是先发出一个类似App停止的提示音,误导用户认为对话结束,但其实在等待用户说话。
每当用户说完一句,App就回复以一段不可读的字符,也就是无声的回答,开始下一轮听取;
只要用户每句话之间的间隔不超过App设定的听取等待时间,一般是几秒钟,这些语音都可以被App记录下来并发回服务器。
看到这是不是想说钓鱼App的开发者太敬业,设计太专业了?
好消息是,这些钓鱼App是由柏林的安全实验室Security Research Labs (SRL)设计开发,没有造成真正用户损失。他们将这些安全漏洞报告给了Google和Amazon,两家大厂都快速回应了——将这些应用下架,并表示“正在采用其他机制来防止将来发生这些问题。”
西雅图IT圈原创
如果喜欢, 请分享我们的文章
这个bug你来看一下?
我:
投稿,转载,商业合作,请联系E-mail:
SeattleITquan@gmail.com
这篇关于Alexa是这么骗走老司机密码的的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
