魚羊 發自 凹非寺

量子位 報道 | 公眾號 QbitAI

來自智能音箱的威脅，不只侷限於官方對錄音的收集了。

通過亞馬遜Alexa和Google Home安全驗證的第三方應用程序，現在被證實可以在暗中竊聽用戶並竊取用戶密碼。

最近，德國安全研究實驗室（SRLabs）公佈了他們針對智能音箱黑客攻擊方案的研究。

SRLabs的白帽黑客開發了八個應用程序，它們被偽裝成星座運勢查詢應用和隨機數生成器，但事實上，它們都是“秘密間諜”，能暗中偷聽用戶對話並竊取用戶密碼。

無一例外，它們都通過了亞馬遜和Google的安全審查，堂而皇之地登上了應用商店。

SRLabs的高級安全顧問Fabian Bräunlein表示：

這就意味著，不僅是製造商，黑客也可以濫用語音助手來侵犯用戶們的隱私。

秘密間諜

無論是亞馬遜的Alexa還是谷歌的Google Home，都允許第三方開發人員訪問用戶的語音輸入。比如一個星座運勢查詢應用，用戶可以通過“Alexa，打開‘我的星座’”這樣的特定短語來調用應用程序。

通過標準的開發接口，研究人員們發現，他們完全可以通過兩種方式來竊取用戶隱私，還不會被亞馬遜和谷歌抓包：

• 請求並收集包括用戶密碼在內的個人數據
• 在用戶認為智能音箱已經停止收聽後繼續竊聽用戶

以“隨機數生成器”為例，在Google Home回覆了用戶的詢問，說了“goodbye”並響起結束提示音之後，上面的惡意應用並沒有真的跟你再見。相反，它還在持續記錄著設備聲音範圍內的所有對話，並把這些記錄通通發送給黑客。

而在另一個“星座運勢查詢應用”中，當你詢問應用程序“今天的幸運星座是什麼呀”，它會假裝回答“你所在的國家不在服務區”，然後它就關閉了（劃掉），並不！在沉默一兩分鐘後，它會偽裝成Alexa或Google Home本體，聲稱設備更新可用，提示你輸入密碼！

也就是說，黑客完全可以在亞馬遜和谷歌的眼皮子底下，操縱“停止”和“啟動”命令，矇蔽用戶，在用戶完全不知道的情況下，監聽你，記錄你。

官方回應

目前，SRLabs已經向亞馬遜和谷歌報告了這一研究結果。兩家公司已經刪除了這幾個應用程序，並表示他們正在加強審核流程，以避免真正的居心險惡者利用這些規則漏洞。

亞馬遜回應稱：

客戶的信任對我們很重要，我們會在第三方應用認證過程中進行安全審查。針對SRLabs發現的問題我們已經採取了預防和檢測措施，以防其再次發生。

谷歌也表示：

我們正在採取其他機制來防止將來再次發生這樣的問題。

據悉，谷歌正在對智能音箱上的所有第三方應用進行審查。

谷歌和亞馬遜均在聲明中提到：智能音箱絕不會要求用戶提供帳戶密碼。

One More Thing

這已經不是智能音箱等智能語音設備第一次翻車了。

今年4月，亞馬遜就被曝出其智能語音助手Alexa和用戶的對話都被記錄了下來，亞馬遜的員工還會聽到這些錄音，以開發新的服務。

谷歌語音助手Assistant和蘋果Siri也都在此前被爆料，與用戶的溝通錄音會被送往外包公司，錄音沒有脫敏，完全可以通過其內容辨別出用戶地址、感情生活等隱私信息。

這回，還不只是官方，黑客也能來插一腳了。

現在，智能設備已經滲入了人們生活的方方面面，它們功能強大，卻也漏洞多多。

就像SRLabs所說，用戶應該意識到危險性，在使用新的語音應用程序時更加謹慎。但更重要的是，AI語音助手廠商們，應該更加註重安全問題，採取更強大的保護措施，來保障用戶的隱私安全。

— 完 —

誠摯招聘

量子位正在招募編輯/記者，工作地點在北京中關村。期待有才氣、有熱情的同學加入我們！相關細節，請在量子位公眾號(QbitAI)對話界面，回覆“招聘”兩個字。

量子位 QbitAI · 頭條號簽約作者

վ'ᴗ' ի 追蹤AI技術和產品新動態