您好,欢迎来到链接目录 - 您的网站目录之家!

当前位置:链接目录 » 站长资讯 » 互联网资讯 » 文章详细 订阅RssFeed

亚马逊谷歌智能助手再曝安全漏洞 存在网络钓鱼和窃听用户行为

来源:海洋目录网 浏览:310次 时间:2019-12-03

据外媒报道,德国安全研究实验室(SRLabs)的网络安全研究人员公布最新发现称,在用户不知情的情况下,黑客可以利用亚马逊智能助手Alexa和谷歌智能助手Google Assistant窃听用户对话,或欺骗用户交出敏感信息。

事实上,这些攻击在技术上并不新鲜。网络安全研究人员早在2018年4月就曾在亚马逊Alexa中发现类似的网络钓鱼和窃听行为。此后,2018年5月和8月,研究人员再次发现这个漏洞影响Alexa和Google Home设备。亚马逊和谷歌每次都部署了对策,但利用智能助手的新攻击仍不断涌现。

这个漏洞最早是德国安全研究实验室(SRLabs)的两名安全研究人员路易斯·弗雷里希斯(Luise Frerichs)和法比安·布劳雷恩(Fabian Br?unlein)首先发现的,他们所在的团队今天公布了最新发现。

网络钓鱼和窃听用户对话都可以通过亚马逊和谷歌向Alexa或Google Home自定义应用程序的开发者提供的后端进行。这些后端提供了对功能的访问,开发者可以使用这些功能来自定义智能助手响应的命令,以及它们给出回复的方式。

SRLabs团队通过在普通Alexa或Google Home应用程序后台的不同位置添加“ ”字符序列发现了上述漏洞,在智能助手保持活跃期间,这些字符可以诱导长时间的沉默。研究人员甚至亲自演示展示了黑客如何在两个设备上执行网络钓鱼攻击的过程。

例如,在演示中,某个应用程序触发错误,但随后仍保持活动状态,并最终要求用户提供其亚马逊或谷歌账户密码,同时伪造来自亚马逊或谷歌自身的更新消息。在此期间,Alexa始终保持着活动状态且从未关闭,这清楚地表明之前的应用程序仍然处于活动状态,并忙于解释一长串的“ ”字符序列。

“ ”也可以以类似的方式用于发动窃听攻击。然而,这是在恶意应用程序响应用户的命令之后使用字符序列实现的。字符序列用于使设备保持活动状态,并记录用户的对话,这些对话被记录在日志中,并发送到黑客的服务器上进行处理。

这两种攻击都利用了这样一个事实,即虽然亚马逊和谷歌在提交Alexa和Google Home应用程序时对它们进行验证和审查,但它们不会对随后的应用程序更新执行相同的操作。

在给媒体的电子邮件中,SRLabs团队表示,他们在今年早些时候向两家供应商报告了这个问题,但两家公司都没有解决这个漏洞。SRLabs团队称:“发现和禁止诸如长时间停顿之类的意外行为应该相对简单。但令人感到惊讶的是,自几个月前报告漏洞以来,这种情况似乎并未改善。”

亚马逊没有回应置评请求。谷歌发言人表示:“谷歌上的所有行为都需要遵循我们的开发者政策,我们禁止并删除任何违反这些政策的行为。我们通过审查流程来检测和删除各类报告中描述的违禁行为。我们正在建立额外的机制,以防止未来发生这些问题。”

谷歌还希望Google Assistant的所有者知道,他们的设备永远不会要求他们提供帐户密码,而且谷歌员工目前正在审查所有第三方应用程序的操作行为。

来源:腾讯科技

推荐站点

  • 站长资源平台站长资源平台

    2898站长资源平台作为最全面的站长资源服务平台,致力于为广大站长和网站运营人员提供包含了友链交换、站长资讯、友情链接、网站交易、免费流量交换、站长工具、网站资源交换、软文投稿、软文推广等各个领域,是站长最好的选择

    www.2898.com
  • 落伍者落伍者

    落伍者创办于2001年,系国内历史最悠久的互联网创业者交流平台。

    https://www.im286.net
  • 域名交易平台域名交易平台

    域名交易平台立足于打造一个以域名交易为核心,域名拍卖、域名竞价、域名经纪中介交易为主要交易方式的域名买卖平台,并提供域名抢注、域名展示页等辅助工具及应用,并成功为CCTV、苏宁、微软、百度Baidu、新浪SINA、QIHU 360、腾讯QQ等多家企业买回域名。

    https://www.ename.com
  • 爱名网爱名网

    爱名网22.CN为顶级域名、商标、SSL证书、云计算的注册与中介交易服务提供商,提供域名注册、商标查询、https申请;商标域名中介交易与拍卖、云主机与SSL服务器证书申请的企业互联网+云计算服务门户。

    https://www.22.cn
  • A5创业网A5创业网

    A5创业网是面向互联网创业者的创业创新服务平台,提供全方位的创业资讯以及创业实战经验,推荐前沿创业项目。A5创业网全力支持创业者实现创业梦想。

    www.admin5.com