文章來源:iThome 文/李建興 | 2018-05-01發表

駭客能在使用者未發現的情況下,在使用者啟用Alexa後,偷偷記錄其收到的語音。資安公司Checkmarx在一款計算機App中加入了惡意程式碼,只要使用這款App就能完成竊聽的任務。

資安公司Checkmarx揭露,Amazon的語音助理Alexa存在隱私洩漏的漏洞,可讓駭客在用戶不知不覺的情況下監聽使用者的日常對話,不過所幸的是,Amazon已經與Checkmarx合作,Alexa應用程式認證程序現在已經可以偵測並阻擋惡意竊聽程式。

研究人員在Alexa上實現,監聽並記錄使用者的對話功能。Checkmarx提到,其實Alexa啟動並完成任務的流程,遵循了一套嚴謹的腳本,不只動作有限,連收音的時機以及預期收到回應的句子,都需要符合預先定義的結構,但是仍然有些空隙讓駭客有機可乘。

駭客能在使用者未發現的情況下,於使用者啟用Alexa後,偷偷記錄其收到的語音。而駭客要進入這個流程,需從Alexa被喚醒開始,Checkmarx在一款計算機App中加入了惡意程式碼,只要使用這款App就能完成竊聽的任務。

Alexa會在聽到使用者呼叫Alexa後啟動,但隨即會在完成使用者命令後關閉,但是當Alexa預期還會收到來自使用者的指令,則會繼續開啟麥克風。這個情況發生在類似使用者設定鬧鐘的時候,當使用者告知Alexa在9點的時候設定鬧鐘,Alexa則會繼續反問是早上還是下午,但是當使用者給予明確指令,在早上9點設定鬧鐘,Alexa則會在設置完成後關閉。

因此駭客可以讓惡意App於第一次回覆完預期回應後,繼續維持Alexa啟用,因為這屬於正常的程序中,假裝還要繼續接受使用者的指令,但是Alexa的提示功能會要求App開發者,提供一字串變數,告訴使用者還有命令需要完成,不過駭客只要給一個空字串,Alexa便不會發出聲音,而此時系統仍會處於啟動狀態。

而這個方法應用在Checkmarx的計算機App,當該App回答完使用者的數學計算答案後,便能靠著假裝等待使用者的回應,並讓Alexa的語音提示保持靜音,達成讓Alexa竊聽的目的。不過,駭客還需要解決一個問題,Alexa的應用程式所接受的命令都是預先定義好的,過長無法理解的句子無法作為應用程式的輸入。

在設定鬧鐘的例子,設定鬧鐘的插槽語句可能被配置成「{時間}設定鬧鐘」,{時間}便是能接受使用者輸入的插槽,但鬧鐘的應用程式就只能接受數字做為時間命令,當Alexa收到的句子不符合預先定義的結構,就不會被接受。而Checkmarx建立了一個插槽語句列表,其包含的格式能夠符合任何單詞以及任何長度句子。

駭客克服了以上這些困難後,便能讓Alexa開始竊聽使用者的對話,但是有一項功能是駭客無法控制的,那就是Amazon Echo裝置上的指示燈,當使用者查覺到指示燈一直亮著,便能知道有問題發生。Checkmarx提到,現在有不少裝置都有安裝Alexa,但卻不能保證都有明顯的提示燈。

Amazon則在Checkmarx通報此漏洞後,互相合作並修補了該問題,現在應用程式認證程序會適當的處理空提示以及非典型的長對話。

 

iThome 最新新聞
  • 一周大事:臺灣Peta級超級電腦「臺灣杉」大公開
    國網中心新造超級電腦「臺灣杉」上線,提供Peta級高運算量 國網中心在科技部支持下,斥資4.3億元打造的新一代超級電腦,以臺灣特有物種「台灣杉」(TAIWANIA)命名。可望紓解既有超級電腦「御風者」使用率滿載的情況,讓運算需求量被壓抑的情形得以放寬,並促進科研的進步。 這是國內第一套公用的Peta級超級電腦,由國網中心與中華電信、富士通合作打造。在啟用典禮現場,我們直擊到新一代超級電腦的廬山真面目。(更多內容)  
  • 不可運算的決策問題
    若曾經接觸過停機問題(halting problem)的開發者,應該都理解一件事,「程式無所不能」是錯的!但是,從實務面來看,開發者為什麼要知道這件事? 停機並不是唯一無解的問題,證明問題無解可以避免未來徒勞無功,然而,這件事的背後,或許還有更重要的目的存在。 Y Combinator存在x函式? 至今的專欄已經談過多次lambda演算了,具備一級函式的語言,多半也會強調其基於lambda演算的重要性,然而究竟是為了什麼?探討遞迴這在lambda演算中是怎麼一回事,可以得到一點靈感。
  • 手機和雲讓企業IT邊界模糊,新資安防禦策略要更看重人
    根據國際研究機構顧能(Gartner)所做的研究資料顯示,全球資訊安全產品與服務支出,2017年支出達864億美元,到2018年則增加到930億美元。另外也有資料顯示,一直到2020年,全球的資安支出也將高達1,130億美元。 從企業大手筆的資安投資可以證明,現在的企業組織為了維持企業的持續營運,對於資安威脅已經到了不得不重視,甚至也必須越來越重視的時候。 因此,多數的企業組織也願意持續投資在各種資安產品與服務的採購上,雖然資安投資的金額和比例持續增加,但事實上,許多資料外洩的資安事件,卻依舊層出不窮,沒有因為資安投資的增加反而有所減少。
  • 眼睛會說話人工智慧看得懂,最新研究從眼睛的行為就能猜出個性
    隨著科技的發展,人們越來越沒有隱私,也越來越難隱藏自己。澳大利亞以及德國研究員共同發表了論文,現在只要透過觀測眼睛的移動行為,便能大概猜出人們在五大性格模型中的四個傾向,包括盡責性、外向性、親和性、情緒不穩定性,同時也能預測好奇的程度。
  • WordPress 4.9.6釋出,助網站擁有者因應GDPR法遵
    由於GDPR將在5月25日正式上路,WordPress釋出4.9.6版本,雖在網站功能上沒有太大調整,但是增加了幾項重要個人資料的處理功能,以符合GDPR要求。 GDPR要求企業以及網站,在收集、使用以及分享個人資料的時候保持透明,且賦予個人更多的選擇權處理這些被收集的資料。WordPress官方提醒,GDPR保護的是歐盟公民,因此無論企業身在何處,都需要在這些資料處理行為上遵守GDPR。 在WordPress 4.9.6中,網站擁有者可以指定一個隱私政策專頁,這個專頁會出現在登入以及註冊頁面,網站擁有者應該為網站每一個頁面都添加這個專頁的鏈結,官方提到,出現在每個頁面的Footer菜單,將會是理想的選項。
  • 強化Auzre生態系,微軟發表自家內容交付網路
    微軟宣布加入Verizon和Akamai的內容交付網路(Content Delivery Networks,CDNs)戰局,現在Azure CDN在33個國家提供54個全球邊緣網路連接點(Edge Point-of-Presence),以及16個區域型快取網路連接點,總體覆蓋超過60個國家,能以小於50毫秒時間交付內容。 CDN能使雲端應用更快速的在全球擴展以及交付內容,微軟表示,而微軟所提供的Office 365、Skype、Bing、OneDrive、Windows以及Xbox等各種線上與雲端服務,以及過去5年來的企業轉型,塑造了他們對CDN獨特見解。
Copyright (C) 2005 - 2016 Cyberhunter.com.tw. All rights reserved.