文章來源:iThome 文/李建興 | 2018-05-01發表

駭客能在使用者未發現的情況下,在使用者啟用Alexa後,偷偷記錄其收到的語音。資安公司Checkmarx在一款計算機App中加入了惡意程式碼,只要使用這款App就能完成竊聽的任務。

資安公司Checkmarx揭露,Amazon的語音助理Alexa存在隱私洩漏的漏洞,可讓駭客在用戶不知不覺的情況下監聽使用者的日常對話,不過所幸的是,Amazon已經與Checkmarx合作,Alexa應用程式認證程序現在已經可以偵測並阻擋惡意竊聽程式。

研究人員在Alexa上實現,監聽並記錄使用者的對話功能。Checkmarx提到,其實Alexa啟動並完成任務的流程,遵循了一套嚴謹的腳本,不只動作有限,連收音的時機以及預期收到回應的句子,都需要符合預先定義的結構,但是仍然有些空隙讓駭客有機可乘。

駭客能在使用者未發現的情況下,於使用者啟用Alexa後,偷偷記錄其收到的語音。而駭客要進入這個流程,需從Alexa被喚醒開始,Checkmarx在一款計算機App中加入了惡意程式碼,只要使用這款App就能完成竊聽的任務。

Alexa會在聽到使用者呼叫Alexa後啟動,但隨即會在完成使用者命令後關閉,但是當Alexa預期還會收到來自使用者的指令,則會繼續開啟麥克風。這個情況發生在類似使用者設定鬧鐘的時候,當使用者告知Alexa在9點的時候設定鬧鐘,Alexa則會繼續反問是早上還是下午,但是當使用者給予明確指令,在早上9點設定鬧鐘,Alexa則會在設置完成後關閉。

因此駭客可以讓惡意App於第一次回覆完預期回應後,繼續維持Alexa啟用,因為這屬於正常的程序中,假裝還要繼續接受使用者的指令,但是Alexa的提示功能會要求App開發者,提供一字串變數,告訴使用者還有命令需要完成,不過駭客只要給一個空字串,Alexa便不會發出聲音,而此時系統仍會處於啟動狀態。

而這個方法應用在Checkmarx的計算機App,當該App回答完使用者的數學計算答案後,便能靠著假裝等待使用者的回應,並讓Alexa的語音提示保持靜音,達成讓Alexa竊聽的目的。不過,駭客還需要解決一個問題,Alexa的應用程式所接受的命令都是預先定義好的,過長無法理解的句子無法作為應用程式的輸入。

在設定鬧鐘的例子,設定鬧鐘的插槽語句可能被配置成「{時間}設定鬧鐘」,{時間}便是能接受使用者輸入的插槽,但鬧鐘的應用程式就只能接受數字做為時間命令,當Alexa收到的句子不符合預先定義的結構,就不會被接受。而Checkmarx建立了一個插槽語句列表,其包含的格式能夠符合任何單詞以及任何長度句子。

駭客克服了以上這些困難後,便能讓Alexa開始竊聽使用者的對話,但是有一項功能是駭客無法控制的,那就是Amazon Echo裝置上的指示燈,當使用者查覺到指示燈一直亮著,便能知道有問題發生。Checkmarx提到,現在有不少裝置都有安裝Alexa,但卻不能保證都有明顯的提示燈。

Amazon則在Checkmarx通報此漏洞後,互相合作並修補了該問題,現在應用程式認證程序會適當的處理空提示以及非典型的長對話。

 

iThome 最新新聞
  • Google雲端服務更新帳號管理政策,避免再次錯停用戶帳號
    在6月時,有GCP用戶在部落格抱怨,他們建構在Google雲端平臺的服務被無預警關閉,Google工程支援區域負責人Brian Bender出面道歉,並且承諾改善帳戶審查機制。而今GCP公開了更新後的帳戶管理政策,其中包括不會以自動偵測機制暫停離線付款的既存客戶,即便是線上客戶,也會延遲暫停帳戶的時程,另外,還增加7x24的對話客服服務。
  • AWS S3配置不當又一樁,數十萬美國選民的個資曝光
    Kromtech Security的安全研究人員Bob Diachenko本周再度發現配置不當的AWS S3儲存貯體,這次的始作俑者是美國專門提供政治競選活動電話語音行銷服務的Robocent,Diachenko在Robocent的AWS S3儲存貯體中找到了數十萬筆的美國選民資料。
  • 量子技術即將進入青黃不接的階段,Google釋出NISQ演算法框架Cirq適應過渡期
    Google人工智慧量子團隊在第一屆量子軟體和量子機器學習國際研討會(QSML)上,發表了Cirq公開測試版,這是一個用於雜訊中等規模量子(Noisy Intermediate Scale Quantum,NISQ)電腦的開源框架,Cirq能讓研究人員在特定的量子處理器上開發量子演算法。該團隊也將Cirq用在Google的Bristlecone處理器上,而接下來他們還計畫在雲端提供該處理器。
  • P2P行動支付程式Venmo預設公開用戶行為,致2億筆交易資訊曝光
    一名27歲的德國程式設計師與隱私研究人員Do Thi Duc在本周踢爆,PayPal旗下的行動支付程式Venmo將用戶行為的預設值設為「公開」(Public),導致任何人都能查詢用戶的交易紀錄,Duc則利用Public Venmo API下載了2017年的所有交易紀錄,總數超過2億筆。 2009年發表的Venmo是個Peer to Peer的行動支付工具,利用手機上的程式就能轉帳給友人,雖然只在美國市場推出,但每月也有700萬用戶數。
  • 大數據即服務公司BlueData推出Bluek8s開源專案,加速Stateful應用程式部署
    雲端原生運算基金會成員之一的大數據即服務廠商BlueData,近日也加碼押寶Kubernetes,推出了開源專案BlueK8s。而在此專案中第一個即將釋出的專案是KubeDirector,讓有態應用(Stateful)在Kubernetes平臺運作時,能更容易部署、管理。
  • IBM更新公有雲服務,SAP HANA裸機伺服器可用Intel Xeon Scalable處理器
    在2017年時,IBM推出經SAP認證的HANA伺服器,讓企業用戶可在IBM公有雲上執行SAP工作負載,最高可以擴充至8TB記憶體、192個處理器核心。不過IBM表示,部分企業用戶的應用規模,不需這些規格的伺服器就能應付,因此在近日,該雲端服務的SAP HANA裸機伺服器服務,開始支援Intel Xeon Scalable處理器,並且搭配3種新記憶體規格,讓使用者有更多部署選擇。
Copyright (C) 2005 - 2016 Cyberhunter.com.tw. All rights reserved.