Alexa 和Google 智慧家居裝置可能被用來竊聽或進行網路釣魚

Alexa 和Google 智慧家居裝置可能被用來竊聽或進行網路釣魚

安全研究實驗室(SRL)的研究人員展示了應用程式(Amazon Alexa上的 Skills和Google Home上的 Actions)如何經由某些裝置功能來產生安全問題。

SRL的報告顯示可以利用下列方式來偷走帳號密碼或付款資訊等敏感資料:

  • 製作一個正常的應用程式並通過Amazon或Google的審查
  • 在審查通過後修改應用程式,將歡迎訊息偽裝成錯誤訊息(如「你所在的國家/地區目前不提供此功能」),並且加上長時間的暫停(如讓應用程式讀無法發音的字元)
  • 透過在應用程式內設定訊息來欺騙使用者(像是「裝置有重要的安全更新可用。請先說開始更新,接著輸入密碼。」),這會讓使用者洩露敏感資料
  • 將取得的資料作為槽值(slot value,使用者的語音輸入)傳送給攻擊者
趨勢科技研究:針對性攻擊的聲音
製造商正在開發越來越多整合熱門網路應用程式的 IoT裝置。為了了解 IoT裝置的安全性以及攻擊者能夠多大程度地操縱 IoT裝置,我們測試了特定 IoT裝置類型(連網音箱)的內建安全性。

為了說明駭客如何進行竊聽,研究人員使用了多種資料竊取技術。在此案例中,它利用了Alexa和Google Home的「意圖(intent)」,這是種完成使用者語音命令的動作。

具體來說,攻擊會使用「停止」和其他攻擊者可能感興趣單詞(如「電子郵件」、「密碼」、「地址」)觸發的功能。應用程式在審查過後會被修改讓「停止」功能觸發「再見」功能,接著會停頓很長時間來欺騙使用者誤以為該應用程式已退出。一旦使用者說出帶有攻擊者所設定觸發詞的句子就會被儲存為槽值(slot value),然後傳送給攻擊者。這種攻擊手法在Google Home裝置上更為有效,因為它們不需要觸發詞且可無限期地竊聽裝置。

SRL已經通報了Google和Amazon,兩家公司都移除了SRL研究內使用的Skills和Actions。

《IOT 》馬桶不停沖水!掃地機器人監視用戶!…..九種智慧家庭裝置可能面臨的威脅
各種在智慧家居可能發生的威脅情景顯示出被入侵的IoT裝置不僅會對使用者的舒適和便利造成影響,還會影響其安全。

SRL的研究是另一次說明IoT裝置無法免疫於漏洞和隱私風險影響的例子。在2017年,趨勢科技研究人員Stephen Hilt展示了使用預設密碼且暴露在網路上或連接不良設定路由器的Sonos音箱系統會如何洩漏可被用於網路釣魚攻擊的敏感資訊。在去年,有一組研究人員報告了語音搶註(Voice squatting),這是種類似網域搶註的技術,能夠讓AlexaGoogle Home裝置開啟攻擊者的應用程式而非正常的應用程式。

資訊圖表:物聯網裝置的四個風險
採用IoT的部分原因在於預計該技術還會將其他技術帶入其所應用的環境中 – 其中最重要的安全隱患是可能導致IoT系統和裝置遭受攻擊。

趨勢科技在2019年上半年所看到的攻擊只是物聯網威脅環境所即將面臨問題的前奏,隨著物聯網採用率的不斷增加,這些威脅也預計會在技術和目標方面變得更加多樣化。隱私和安全風險不只會發生在住家,隨著物聯網在工作場所的無處不在,其遭受威脅時對企業的影響也會是一樣地嚴重。

保護物聯網也該被視為共同責任。對使用者和企業來說,應該要遵守安全規範:更新帳密、防護IoT裝置使用的存取點(如路由器)以及安裝最新的修補程式等。廠商、製造商和第三方應用程式開發人員也必須將隱私和安全考量納入所開發和派送的產品內。

趨勢科技的 Smart Protection Network™提供了嵌入式的網路安全解決方案,能夠保護所有連接家庭網路的裝置抵禦網路攻擊。有了趨勢科技豐富的威脅研究經驗以及業界領先的深度封包檢測(DPI)技術。

@原文出處:Alexa and Google Home Devices can be Abused to Phish and Eavesdrop on Users, Research Finds

FB IG Youtube LINE 官網