漏洞使您的家庭助理设备的收听时间超出了应有的时间,但这还不是全部。
诸如Amazon Echo或Google Home之类的智能扬声器可以监听您的声音并提供反馈。此功能对用户而言是惊人的,对于任何安全专业人员而言都是噩梦。这就是为什么那些安全研究人员和专业人员花费大量时间和精力来戳穿这些智能扬声器的装甲孔,以便他们将这些漏洞传递给制造产品的公司并尽快对其进行修补。
SRLabs的研究人员与ZDNet分享了一个非常奇特的小技巧,该技巧使用特殊字符在您认为麦克风关闭时将其保持打开状态。
研究人员一直在寻找破解家庭助手的方法。这是好事。
这些特殊字符可由Alexa或Google Assistant应用或“技能”中的第三方开发人员使用。当为这些设备供电的软件遇到奇数字符时,它们会在设备静音但仍在收听的情况下插入较长的暂停时间。换句话说,您可以假设说话者不再在听,而是在听。
当然,有多种方法可以将其用于各种欺骗手段,例如窃取密码或只是听您与房间中的其他人交谈。
不会以任何方式绕过使您知道设备正在监听的硬件功能。您可以在上面的视频中看到Echo的灯环一直都亮着。但是,并不是每个人都会注意到这一点,或者甚至不知道这意味着什么-他们只会知道Alexa或Assistant已经完成交谈并假设一切都完成了。这些视频显示了在Amazon设备上实际使用该漏洞的过程,但Google Home产品做的事情完全相同,并且以相同的方式继续收听。
这似乎是将您的家庭助理产品丢进垃圾桶的一个很好的理由,但是现在还站不起来:这些第三方应用程序不会轻易安装,主要是因为Google和Amazon都拥有大量在批准其辅助平台的应用程序之前进行检查。骇客本身非常严重,但分发机会非常低。
我该怎么办?
不要惊慌尽管绝对没有理由说驱动Google Home或Amazon Echo的软件遇到特殊字符时应该采取这种方式(尤其是因为SRLabs几个月前已通知两家公司),但您不会安装任何可以使用的东西除非您充当开发人员并加载自己的应用程序。如果您仅安装来自Amazon或Google的认可软件,则说明您正在安装已经过检查以确保不会发生这种情况。
可以检查以确保没有在任何已发布的应用程序中使用此漏洞,但是最好修复漏洞。
两家公司都不是一个很好的回应。真正可以解决这个问题的修补程序可以避免这种行为,也可以阻止其首先发生,而不是依赖于应用程序发布之前的手动检查。没有理由不能同时采用这两种保护措施,我希望两家公司都能做到。你也应该这样。但是,知道这种黑客行为的方式以及亚马逊和谷歌的某人正在检查以确保它不会出现在您喜欢的新闻应用程序或议程跟踪器中总比没有好。
可能的是,这种不必要的宣传会导致Amazon和Google都以正确的方式修复该缺陷,因此就可以了。希望它早日发生。