【竊聽風暴】Google、Amazon智能喇叭偷錄密碼
想開始試用智能家居,最方便嘅方法就係買個具備管家功能嘅智能喇叭,好似 Google Home、Amazon Alexa 呢兩個智能喇叭就非常多人買,當中又以 Google Home 較受歡迎,因為無論喺支援嘅品牌同埋語音操控表現上,都穩佔上風。不過,唔少用家都會擔心,呢啲喇叭會唔會偷偷錄低自己講嘅嘢再傳送出去?事關 Google 同 Amazon 都承認會收集語音嚟改善佢哋嘅助理功能,而事實上 Amazon 曾經喺 2017 年應阿肯色州警方及控辯雙方要求,交出一段兇殺案現場嘅錄音作為呈堂證供,所以話,用唔用真係好視乎大家覺得個人私隱有幾重要。
為咗證明呢啲智能喇叭真係存在安全漏洞,德國網絡安全研究實驗室 SRLabs 嘅白帽黑客,分別為 Google Home 及 Amazon Alexa 各自開發咗 4 隻具備竊聽功能嘅觀星專用 app,仲通過咗雙方嘅認證可以放上架。呢幾隻 app 嘅攻擊方法,係當用家以語音啟動及用完佢哋嘅功能後,營造出一個 app 已停止運作嘅假像,但事實上佢哋仲喺背景上聆聽緊用家嘅對話,甚至之後用返 Google Assist 及 Amazon Alexa 語音助理系統嘅聲音,要求用家語音輸入密碼嚟更新主系統。
點解可以令到用家誤以為 app 已停止運作?專家係修改咗語音指令嘅設定值,當聽到用家講某啲同星座相關嘅字詞,例如十二星座等關鍵字,系統就會將原本「Stop」指令變為開始,同時系統會保持沉默,成功瞞騙用家;另一個方法係當收到用家以語音啟動 app,系統就會話因為地區問題唔支援服務,都可以呃到用家無啟動過隻 app。
由於呢幾隻 app 都有漏洞可以被利用,所以 SRLabs 專家最終都無上到架,而且亦分別向 Google 及 Amazon 舉報呢個漏洞。兩間公司收到舉報後,都即時回應話會檢查商店上所有 app 有無相關漏洞,有的話會即時下架,不過就係 Amazon 嘅回應最詳盡。其實唔單只 Google 同 Amazon 嘅 app 有風險,Apple 亦面對相同問題,難以百分百搵出第三方開發嘅 app 有漏洞存在,作為用家,每次裝 app 前真係要睇清楚對方攞你乜嘢權限,如有懷疑就唔好裝住喇。
