亞馬遜谷歌智能助手再曝安全漏洞 存在網絡釣魚和竊聽用戶行為

　　10月21日消息，據外媒報道，德國安全研究實驗室(SRLabs)的網絡安全研究人員公布最新發現稱，在用戶不知情的情況下，黑客可以利用亞馬遜智能助手Alexa和谷歌智能助手Google Assistant竊聽用戶對話，或欺騙用戶交出敏感信息。

　　事實上，這些攻擊在技術上并不新鮮。網絡安全研究人員早在2018年4月就曾在亞馬遜Alexa中發現類似的網絡釣魚和竊聽行為。此后，2018年5月和8月，研究人員再次發現這個漏洞影響Alexa和Google Home設備。亞馬遜和谷歌每次都部署了對策，但利用智能助手的新攻擊仍不斷涌現。

　　這個漏洞最早是德國安全研究實驗室(SRLabs)的兩名安全研究人員路易斯·弗雷里希斯(Luise Frerichs)和法比安·布勞雷恩(Fabian Br?unlein)首先發現的，他們所在的團隊今天公布了最新發現。

　　網絡釣魚和竊聽用戶對話都可以通過亞馬遜和谷歌向Alexa或Google Home自定義應用程序的開發者提供的后端進行。這些后端提供了對功能的訪問，開發者可以使用這些功能來自定義智能助手響應的命令，以及它們給出回復的方式。

　　SRLabs團隊通過在普通Alexa或Google Home應用程序后臺的不同位置添加“ ”字符序列發現了上述漏洞，在智能助手保持活躍期間，這些字符可以誘導長時間的沉默。研究人員甚至親自演示展示了黑客如何在兩個設備上執行網絡釣魚攻擊的過程。

　　例如，在演示中，某個應用程序觸發錯誤，但隨后仍保持活動狀態，并最終要求用戶提供其亞馬遜或谷歌賬戶密碼，同時偽造來自亞馬遜或谷歌自身的更新消息。在此期間，Alexa始終保持著活動狀態且從未關閉，這清楚地表明之前的應用程序仍然處于活動狀態，并忙于解釋一長串的“ ”字符序列。

　　“ ”也可以以類似的方式用于發動竊聽攻擊。然而，這是在惡意應用程序響應用戶的命令之后使用字符序列實現的。字符序列用于使設備保持活動狀態，并記錄用戶的對話，這些對話被記錄在日志中，并發送到黑客的服務器上進行處理。

　　這兩種攻擊都利用了這樣一個事實，即雖然亞馬遜和谷歌在提交Alexa和Google Home應用程序時對它們進行驗證和審查，但它們不會對隨后的應用程序更新執行相同的操作。

　　在給媒體的電子郵件中，SRLabs團隊表示，他們在今年早些時候向兩家供應商報告了這個問題，但兩家公司都沒有解決這個漏洞。SRLabs團隊稱：“發現和禁止諸如長時間停頓之類的意外行為應該相對簡單。但令人感到驚訝的是，自幾個月前報告漏洞以來，這種情況似乎并未改善。”

　　亞馬遜沒有回應置評請求。谷歌發言人表示：“谷歌上的所有行為都需要遵循我們的開發者政策，我們禁止并刪除任何違反這些政策的行為。我們通過審查流程來檢測和刪除各類報告中描述的違禁行為。我們正在建立額外的機制，以防止未來發生這些問題。”

　　谷歌還希望Google Assistant的所有者知道，他們的設備永遠不會要求他們提供賬戶密碼，而且谷歌員工目前正在審查所有第三方應用程序的操作行為。(騰訊科技審校/金鹿)