語音助理 - 資安趨勢部落格

AI 也學壞了?Amazon語音助理Alexa叫10歲小女孩嚐試觸電挑戰!

2022 年 01 月 13 日2022 年 01 月 12 日趨勢科技 TrendMicro

天氣不好或是疫情升溫無法出去玩時,你會請語音助理建議玩些室內遊戲嗎?當心別碰上這樣的事情…

Amazon(亞馬遜) AI 語音助理Alexa竟然向一名10歲女孩「發出挑戰」，要她拿銅板碰觸通電插座。這建議是在小女孩要求做一項「挑戰」時的回應:「將手機充電器插進牆上插座一半，然後用硬幣碰觸暴露的插腳」。Amazon聲稱已經修復了這個錯誤。

繼續閱讀

Alexa 和Google 智慧家居裝置可能被用來竊聽或進行網路釣魚

2019 年 10 月 31 日2019 年 10 月 31 日趨勢科技 TrendMicro

安全研究實驗室（SRL）的研究人員展示了應用程式（Amazon Alexa上的 Skills和Google Home上的 Actions）如何經由某些裝置功能來產生安全問題。

SRL的報告顯示可以利用下列方式來偷走帳號密碼或付款資訊等敏感資料：

製作一個正常的應用程式並通過Amazon或Google的審查
在審查通過後修改應用程式，將歡迎訊息偽裝成錯誤訊息（如「你所在的國家/地區目前不提供此功能」），並且加上長時間的暫停（如讓應用程式讀無法發音的字元）
透過在應用程式內設定訊息來欺騙使用者（像是「裝置有重要的安全更新可用。請先說開始更新，接著輸入密碼。」），這會讓使用者洩露敏感資料
將取得的資料作為槽值（slot value，使用者的語音輸入）傳送給攻擊者

繼續閱讀

《IOT物聯網》亞馬遜 Alexa 語音助理可能成為竊聽器?!

2018 年 05 月 03 日2018 年 04 月 30 日趨勢科技 TrendMicro

研究人員發現了熱門智慧家居系統內的物聯網（IoT ,Internet of Thing ）設計缺陷：他們發現駭客可以寫程式利用Amazon的Alexa服務來竊聽使用者並轉錄所聽到的訊息。要做到這點只需要建立一個應用程式，讓語音啟動的數位助理將所聽到的所有內容轉錄給駭客，這是種會被惡意用來竊取敏感資訊的功能。

[延伸閱讀：你的連網語音助理安全嗎？]

Alexa語音助理的設計是在收到提示詞後會開始收聽使用者指令，不過只啟用一小段時間。一旦服務通知使用者對話結束就會回到休眠狀態，直到下一次收到提示詞啟動。當研究人員以駭客的角度來研究這功能，發現可以在程式中插入空白回覆提示詞來惡意利用這功能，這表示Alexa認為自己已經通知使用者設備仍在收聽，但其實卻是保持沉默。使用者並不會意識到這一點，而且也可能沒有注意到Echo設備上的藍色指示燈亮起。只要沒有收到使用者的提示詞，這收聽狀態就會一直繼續下去。

[測驗：為孩子購買智慧型設備？先問自己這8 個問題。]

經過進一步的測試，研究人員增加說明了如何將設備所收聽到的所有訊息轉錄下來，可以再將收集到的資訊傳送給駭客，直到設備關閉。研究人員已經將此漏洞告知了Amazon，儘管完整的修復方法並未透露，但此一漏洞已經被修復。繼續閱讀

Siri 漏洞：Apple 個人助理會洩漏個人資料

2015 年 11 月 26 日2015 年 11 月 24 日趨勢科技 TrendMicro

iOS上的Siri讓日常工作變得更加容易；無論是詢問到最近加油站的路線或是保持與不斷成長社交媒體網路的聯繫。iOS使用者只要講出聯絡人姓名，手機就會將電話號碼和電子郵件地址帶出來。然而，便利是有代價的：個人資料。

如果我告訴你，只要30秒，就可以讓任何人從朋友開啟Siri功能的iOS設備上拿到你的姓名、電子郵件地址、電話號碼甚至是你的照片，不管手機有沒有上鎖呢？會擔心嗎？

iOS行動設備上的Siri可能被濫用的情境是會讓任何人使用語音辨識來取得設備上的資料，即便有設定密碼。在理想狀態下，密碼鎖定應該會防止任何對行動設備上所儲存資料的未經授權存取，就跟電腦上的密碼一樣。鎖定的設備不該洩漏所有者的身份和聯絡方式，以及所有者的朋友、家人和聯絡人。Siri可以繞過這些而在鎖定的行動設備上提供詳細資料及其他功能。

自從Siri出現之後，就已經有多個相關討論串出現在Apple支援論壇上。然而，我們想要強調安全性和隱私方面的風險，並讓我們的讀者能夠注意到。

Siri可以做什麼？

一旦任何人可以實際上拿到你的行動設備，就可以用語音辨識呼叫多種命令，包括可以存取名字、電話號碼、行事曆及其他更多功能。這裡是鎖定而有啟用Siri的iOS行動設備上可以使用的命令列表：