“黑客仍然可以采用Alexa和Google Home设备监听他人”

人们期望他们的虚拟助理是离散的。 因此，alexa、谷歌主页和其他具有辅助技术的设备必须在录制时明确证明其理由。 但是，zdnet昨天报道称，黑客可以利用alexa和谷歌主页的漏洞作为秘密监控工具。

相关漏洞要求应用程序开发人员发布恶意更新。 这些更新会根据顾客的询问而延长插入时间。 字符串。 这样可以实现长时间的沉默，设备读取字符，麦克风保持活动状态。 然后，有人可以用这些麦克风窃听alexa和谷歌主页的顾客。

攻击者将自己的恶意应用程序冒充亚马逊和谷歌，告诉人们共享账户验证信息，然后再登录自己的服务，就可以更进一步了。 虽然这两个设备都无法正常工作，但没有警惕的客户可能不会小心破坏帐户的安全。

这些设备在技术上公开主动麦克风的状态灯。 因为这个注意者有可能观察到情况的变化。 但是，人们很可能完全漏掉或忽视光。 这些设备吸引人的部分原因是可以在不中断当前任务的情况下跨越房间发布命令。 必须凝视状态灯并不能证明人们采用这些产品的理由。

研究人员全年查明了alexa和谷歌主页的类似漏洞。 安全企业srlabs今年年初发现了它们的生存。 据报道，这家企业把这个问题告诉了亚马逊和谷歌，尽管srlabs告诉zdnet，发现和禁止长期停运等意想不到的行为应该比较简单，但这个问题还没有得到处理。

srlabs表示亚马逊和谷歌应该通过博客文案来处理这个问题:

为了防止智能斯皮茨攻击，亚马逊和谷歌需要实施更好的保护。 首先，需要对语音应用商店提供的第三方技能和操作进行更全面的审查。 在语音应用程序审阅中，必须从检查副本中删除以下不可发音的字符: 显示没有提示的ssml消息，以避免扬声器输出出现任何长期停顿。 必须特别观察可疑的输出副本(包括密码)或完全禁止其采用。

这家企业还在youtube频道分享了4段视频，展示了网络钓鱼攻击和窃听alexa和谷歌主页顾客的漏洞。

谷歌告诉zdnet，它在删除这些研究者发现的操作的同时，提出了防止将来发生这些问题的适当机制。 亚马逊一直保持沉默。

本文：《“黑客仍然可以采用Alexa和Google Home设备监听他人”》