Alexa 和Google 智慧家居裝置可能被用來竊聽或進行網路釣魚

Alexa 和Google 智慧家居裝置可能被用來竊聽或進行網路釣魚

安全研究實驗室(SRL)的研究人員展示了應用程式(Amazon Alexa上的 Skills和Google Home上的 Actions)如何經由某些裝置功能來產生安全問題。

SRL的報告顯示可以利用下列方式來偷走帳號密碼或付款資訊等敏感資料:

  • 製作一個正常的應用程式並通過Amazon或Google的審查
  • 在審查通過後修改應用程式,將歡迎訊息偽裝成錯誤訊息(如「你所在的國家/地區目前不提供此功能」),並且加上長時間的暫停(如讓應用程式讀無法發音的字元)
  • 透過在應用程式內設定訊息來欺騙使用者(像是「裝置有重要的安全更新可用。請先說開始更新,接著輸入密碼。」),這會讓使用者洩露敏感資料
  • 將取得的資料作為槽值(slot value,使用者的語音輸入)傳送給攻擊者
繼續閱讀

五個防範語音式 IoT 與 IIoT 裝置威脅的方法

根據一項估計,到了今年底,全球將賣出 3,300 萬個「優先使用語音」的裝置。有鑑於語音式物聯網(IoT ,Internet of Thing裝置在全球的使用數量驚人,因此安全應該列為這類裝置的優先考量重點。隨著裝置數量越來越多,IoT 預料也將變得更加凌亂,不僅將遇到各種相容性問題,同時也將充斥著各種安全問題。

趨勢科技資深威脅工程師 David Sancho 指出,語音式裝置 (如 Amazon Echo 和 Google Home 等智慧音箱/智慧喇叭) 採用新的人機介面來與裝置互動。使用時只需用語音來下達指令就能操作這些語音助理。

語音式裝置 (如 Amazon Echo 和 Google Home 等智慧音箱/智慧喇叭) 採用新的人機介面來與裝置互動。使用時只需用語音來下達指令就能操作這些語音助理。

這些語音助理在某些環境當中特別有用,例如當使用者無法使用或者不喜歡使用鍵盤和滑鼠等傳統輸入裝置時,常見的使用情境如廚房或浴室。不過在工業環境當中,如自動化工廠和醫院開刀房,這類語音式裝置也非常實用,因此它們也開始在工業物聯網 (IIoT) 環境當中流行。

Sancho 列舉了三種這類語音應用環境可能遭遇的威脅:隱私問題、假冒語音指令、阻斷服務攻擊。

根據 Sancho 指出,還有一些語音和聲音技術也可能帶來更危險的攻擊情境,例如:

指向性喇叭
指向性喇叭技術可能讓駭客直接對裝置發送語音指令,而裝置附近的人卻不易察覺。一般來說,這是一種很特殊且應用不廣的技術,但這類技術確實存在,而且駭客不須花費太高成本就能將它變成一種武器。 繼續閱讀