黑客技术研究组织SRLabs发现,无论是Google Home或是Amazon的Alexa智能助理,恶意人士都可以通过厂商开放的标准接口,使设备转变成为智能间谍,不仅能够利用语音钓鱼骗取用户的敏感消息,还能在用户认为设备停止运行之后,持续继续进行窃听。
智能间谍的第一种攻击模式,可以通过简单地变更后端,就能向用户请求密码,研究人员提到,利用这项手法,任何语音应用程序都可以请求诸如用户密码等敏感信息。黑客可先创建一个看似无害的应用程序,而该应用程序包含一个由“开始”触发的意图(Intent),并把下一个收到的字词设为用户输入。意图是指用户可以操作,并可定义于Alexa的技能(Skills)或是Google Home的行动(Actions)中的动作。
由于Amazon或Google只会在语音应用程序发布前检查其安全性,而在之后便不会再有第二轮的安全审核。因此黑客可将先前通过审核的欢迎消息,替换成假造的错误消息,向用户发送“您所在的国家/地区目前无法使用此技能”的语音,让用户以为应用程序尚未激活,而用户便会假设语音应用程序不再进行监听。
接着让语音应用程序说出字符串行“U+D801、点、空白”,而由于设备无法发音该字符串行,因此会让设备进入静默的状态,而重复多次该字符串行,则可延长音响静音的时间,等待一段时间静音之后,播放出语音钓鱼消息“有设备可用的安全更新,在密码之后开始更新”,而之后用户说的所有内容,都会被发送给黑客。黑客也可以使用类似的方法,来取得用户的电子邮件,以访问Amazon或Google账号。
第二种智能间谍的攻击方法,则是使用假的暂停意图来窃听用户,窃听Alexa跟Google Home用户的方法不同。目标攻击Alexa用户的黑客,可以便用Alexa设备以特定关键字触发语音录制的功能,像是我,或是之后可能会带有敏感信息的电子邮件、密码或是地址来窃听敏感信息。黑客先创建一个无害的技能,里面包含两个意图,第一个是由停止指令启动且会复制停止意图的意图,第二个则是由特定常用字词开始的意图,并将之后收到的语音作为用户输入。
同样的在Amazon审查之后,黑客可以把语音应用程序中的第一个意图改为说再见,但是持续打开对话(Session),同样让设备念出“U+D801、点、空白”字符串行以维持静默,同时也改变第二个意图,使其不做任何反应。这样的安排让用户尝试结束技能的时候,依然会听到再见的语音频息,但是技能会持续运行数秒钟,这时当用户说出的句子以关键字词开头,则意图会将该句子当作用户输入,发送给攻击者。
而对于Google Home来说,第二种智能间谍攻击法更强大,不需要指定触发关键字,而且黑客还可以无限期监听用户对话。同样利用了语音应用程序不会被审查第二次的漏洞,在语音应用程序发布之后,修改原本的意图,并且结合静默与监听,可以让语音应用程序不停地向黑客的服务器发送已识别的语音,甚至将带有OK Google前缀的用户命令,发送给黑客,而黑客还可以仿真其他应用程序的行为,进行中间人攻击。
SRLabs在披露漏洞之前,已经依照漏洞通报程序通知Google和Amazon,研究人员提到,要防止智能间谍的攻击,Amazon与Google需要对语音应用程序商店进行更严格的审查,并且删除无法发音的字符或是语音合成标记语言(SSML),以防设备可以产生长时间的停顿。而用户具有语音应用程序也会遭到滥用的认知,在安装的时候要更加谨慎。