目前,智能扬声器风靡一时,全球销售的增长速度令人回想起智能手机行业的早期发展,两家公司的销售量超过了供应商包装争夺桂冠。在争夺世界统治权的斗争中,亚马逊和谷歌正在尽一切力量使自己脱颖而出,并相互竞争,每天都在大大改善他们本已令人印象深刻的虚拟助手的功能,并不断扩大其硬件产品组合。
不幸的是,尽管在相对较新的市场中具有长期增长潜力的激烈竞争为快速发展创新体验和应用创造了理想的环境,但用户的安全性和隐私却可能被严重忽略了。值得赞扬的是,谷歌和亚马逊似乎都在限制其语音控制设备可以收集的数据以及对上述信息进行错误处理的可能性,但是仍然存在许多问题和担忧。
一项尚未引起媒体广泛关注的非常微妙的问题涉及对所谓的Alexa“技能”和Google Home“动作”的审查过程。这些可以通过官方商店添加到两家公司的智能家居设备中的功能是由第三方开发的,这使得它们容易受到外部攻击。
小心您的语音助手要求您做什么
通常,用户会询问Alexa或Google助手问题,以及发出命令,设置警报等。但是,正如一家名为SRLabs的公司上传到YouTube的一对视频所证明的那样,您的AI助手有时可能会要求您做一些事情,而不是反过来。或至少是恶意Echo或Google Home应用可能会让您相信。
专门研究安全性研究的Security Research Labs开发了这样的应用程序,旨在揭示Alexa和支持Google Assistant的设备的令人震惊的漏洞。事实证明,通过假装为具有某种区域限制的合法“幸运星座”服务,植入基本的Alexa技能和Google Home操作确实非常容易,这些操作可以“隐藏”(语音网络钓鱼)用户的密码。
这些应用可能会诱使用户相信他们的设备,而不是真正的相关应用正在请求语音密码验证来安装软件更新。当然,这不是在智能扬声器上进行更新的方式,但这只是安全漏洞的一个示例,可以通过非常严重的方式加以利用。其他示例包括询问与所述密码甚至财务信息相对应的电子邮件地址。
窃听也非常容易
SRLabs为了验证Google和亚马逊的应用程序批准机制的有效性而进行的另一项测试包括,在理论上取消激活后,操纵相同的无辜星座“技巧”和“动作”来收听对话。可以预见的是,仅要求第三方应用“停止”提供您先前请求的信息也可能不会停止监听过程。
在这种情况下,入侵Echo和Google Home的工作方式略有不同,但最终结果同样令人恐惧。您在这些设备上说的任何话都可以通过多种方式对您不利,而我们实在不想在此详细讨论。
谷歌和亚马逊正在采取“机制”来提高安全性
从技术上讲,这仅仅是Google对SRLabs的令人不安的启示的反应,但是亚马逊向Ars Technica提供了类似的措辞,尽管该声明含糊不清,该公司强调从现在开始已经采取了“缓解措施”来“预防和检测这种技能行为”。
顺便说一句,SRLabs所做的并非纯粹是理论上的,而是发布经过Google和Amazon批准流程的恶意应用程序,而在与这两家技术巨头联系并删除网络钓鱼和窃听应用程序之前,显然并未充分利用技能和行动的潜力。
根据Google和Amazon的说法,将来不再应该不再可能出现这种明显的安全漏洞,但是最好还是要谨慎下载。请记住,不要做语音助手可能要问的任何粗略事情。