研究人員發現了熱門智慧家居系統內的物聯網(IoT ,Internet of Thing)設計缺陷:他們發現駭客可以寫程式利用Amazon的Alexa服務來竊聽使用者並轉錄所聽到的訊息。要做到這點只需要建立一個應用程式,讓語音啟動的數位助理將所聽到的所有內容轉錄給駭客,這是種會被惡意用來竊取敏感資訊的功能。
[延伸閱讀:你的連網語音助理安全嗎?]
Alexa語音助理的設計是在收到提示詞後會開始收聽使用者指令,不過只啟用一小段時間。一旦服務通知使用者對話結束就會回到休眠狀態,直到下一次收到提示詞啟動。當研究人員以駭客的角度來研究這功能,發現可以在程式中插入空白回覆提示詞來惡意利用這功能,這表示Alexa認為自己已經通知使用者設備仍在收聽,但其實卻是保持沉默。使用者並不會意識到這一點,而且也可能沒有注意到Echo設備上的藍色指示燈亮起。只要沒有收到使用者的提示詞,這收聽狀態就會一直繼續下去。
經過進一步的測試,研究人員增加說明了如何將設備所收聽到的所有訊息轉錄下來,可以再將收集到的資訊傳送給駭客,直到設備關閉。研究人員已經將此漏洞告知了Amazon,儘管完整的修復方法並未透露,但此一漏洞已經被修復。
追求便利和效率不應該帶來資料外露及不安全的風險。雖然智慧連網設備仍持續地在創新和普及中,但開發商不該忽視使用者安全和隱私的重要性。
[延伸閱讀:物聯網管理者(AoT) – 智慧化的副作用]
使用者不該將安全責任都放在服務商和開發商身上。以下是使用者可以用來加強智慧家居設備安全性的幾種做法:
- 熟悉設備功能並學習如何加以保護。檢查設備的預設設定和權限,調整可提高安全性的設定
- 定期下載韌體和軟體更新
- 保護網路路由器帳號密碼以避免遭受攻擊。使用強密碼並經常更換。
[延伸閱讀:智慧喇叭遇上針對性攻擊]
企業應該要積極地利用多層次防禦來保護其資料和營運,主動監控防護來確保無失。趨勢科技提供給智慧型設備的物聯網安全防護方案可以應對各種產業所可能遭遇的業務中斷、駭客入侵、漏洞攻擊、資料丟失及各種進階威脅。
@原文出處:Alexa Can Listen Indefinitely, Potentially Exploited to Transcribe Information to Cybercriminals