新聞消息
Alexa、Google Home 藏私隱漏洞 可偷錄用戶密碼
最近,德國網絡安全研究實驗室 SRLabs 公佈了一項研究。實驗室的白帽黑客分別為 Google Home 及 Amazon Alexa 各自開發了 4 種具備竊聽功能的應用程式,這些「間諜」偽裝成觀星專用應用程式和隨機數生成器,更通過了兩家公司的安全認證,成功上架。
這幾款應用程式的攻擊方法,是當用家以語音啟動及應用完相關功能後,營造出一種已停止運作的假像,以其中一款「隨機數生成器」為例,在Google Home 回應了用戶詢問,說了「goodbye」並響起結束提示音之後,上面的惡意應用並沒無真的停止運作。相反,它依然持續記錄着設備聲音範圍內的所有對話,並把這些記錄發送給黑客;甚至會用 Google Assist 及 Amazon Alexa 語音助理系統的聲音,要求用家語音輸入密碼以更新主系統。換言之,黑客完全可以在兩家科技巨擘的「批准」下,蒙騙用戶,在用戶完全不知道的情況下,監聽訊息。
由於此幾款應用程式的嚴重安全問題,SRLabs 並無將之上架,更已向 Google 及 Amazon 舉報漏洞。兩家公司回覆,指已經刪除了有關應用程式,並表示他們正在加強審核流程,以避免真正的居心險惡者利用這些漏洞,更特別提到:絕不會要求用戶提供帳戶密碼。