西雅图IT圈:seattleit

【今日作者】

Powerball选号机

身体和灵魂总有一个要

走在买PowerBall的路上

用户们对智能音箱的爱恨纠葛已经不是新话题了,亚马逊在上个月发布了Alexa的 删除对话历史记录 新功能,目的是 提升用户隐私保护

俗话说不怕贼偷怕贼惦记,对Alexa和Google home等智能音箱上发布的第三方应用来说,想要骗取用户密码,甚至在未唤醒状态下偷听,其实都不难。

近日亚马逊和Google下架了几个智能语音钓鱼应用,这些“智能钓鱼软件”以星座分析App或者随机数生成App为掩饰,都通过了两个平台审核公开发布,也成功盗取了部分用户密码。

有人会说,哪有人这么轻易把密码告诉Alexa或者Google?

不如看看它们的行骗步骤再下结论?

以其中一个星座解析app为例:

  • 首先,开发者将这个看似人畜无害的app发到Google Home的app平台上,申请审核;

  • 审核通过后,开发者更改app,把最开始的问候语改成类似设备故障的提示,比如说“此功能在你所在地区无法使用。”许多用户听到这个提示会认为app并未运行或者已经关闭;

  • 在问候词的后面加上长时间停顿,这一功能可以通过在问候词里加入不可读的字符实现。这样可以加深用户认知,觉得app已经退出了;

  • 大段停顿后,app发出类似系统提示的指令,比如:“您的设备有重要安全更新,请说‘开始更新’并提供密码。”

如果此时警惕性不高的用户或者家中小朋友信以为真给出密码的话,App就钓鱼成功了。

在此提醒大家,在任何平台、任何应用、点开的任何链接上都不要轻易泄露密码,本着这个原则可以避开大部分钓鱼攻击

但是智能音箱还有一种特有的安全隐患,叫做偷听。

在Amazon Echo里一个偷听App是这样实现的:

  • 首先,开发者在App平台发布一个人畜无害的随机数生成App,等待审核;

  • 此时的App可以识别2个关键词,一个是“Stop”,另一个是任意一个常用词,比如“like”;若app捕捉到用户说出两个关键词中任意一个,就开始记录用户语音;

  • 通过审核后,开发者更改App,在“Stop”关键词触发后回复一个Goodbye,再接一个大段停顿,这样用户角度看起来像是App已经停止了;

  • 如果用户在随后的私下谈话里说出了“like”,关键词被触发但App不给出回应,直接记录随后的用户语音输入,偷听达成。

值得一提的是这种偷听方法在Echo上只能通过关键词触发一个回合,但在Google home上可以无限循环的偷听。

  • 具体实现是先发出一个类似App停止的提示音,误导用户认为对话结束,但其实在等待用户说话。

  • 每当用户说完一句,App就回复以一段不可读的字符,也就是无声的回答,开始下一轮听取;

  • 只要用户每句话之间的间隔不超过App设定的听取等待时间,一般是几秒钟,这些语音都可以被App记录下来并发回服务器。

Q:

看到这是不是想说钓鱼App的开发者太敬业,设计太专业了?

A:

好消息是,这些钓鱼App是由柏林的安全实验室Security Research Labs (SRL)设计开发,没有造成真正用户损失。他们将这些安全漏洞报告给了Google和Amazon,两家大厂都快速回应了——将这些应用下架,并表示“正在采用其他机制来防止将来发生这些问题。

西雅图IT圈原创

仅有不到7%的公众号,  还在坚持原创

如果喜欢, 请分享我们的文章

每天加点料

这个bug你来看一下?

我:

投稿,转载,商业合作,请联系E-mail:

SeattleITquan@gmail.com

Alexa是这么骗走老司机密码的相关推荐

  1. 读论文七步走!CV老司机万字长文:一篇论文需要读4遍

      视学算法报道   编辑:LRS [新智元导读]读论文对于AI新手和工程师来说可能是一件比较难的事.最近一位从业超5年的CV老司机发布了一篇万字长文,讲述了读论文七步法,从找论文到总结,每篇论文由浅 ...

  2. 十字路口待转区什么用_都知道“左转待转区”,但到底该怎么走?老司机给你一次讲清楚...

    对车主们来说,行车安全是最为重要的,即便是驾驶技术最好的老司机也不能忽略这一点.正所谓"常在河边走,哪有不湿鞋",有时候即便再小心,但也不排除发生被剐蹭的情况,尤其是现在新手车主不 ...

  3. 可变车道怎么走不违章_可变车道不敢走?老司机教你正确的行驶方式,再也不怕违章了...

    原标题:可变车道不敢走?老司机教你正确的行驶方式,再也不怕违章了 我国现在的道路交通情况无需做过多的介绍,朋友们每天都在亲身感受,为了缓解这些糟糕的交通状况,交通部门出台了一系列措施,改善交通状况. ...

  4. 亚马逊63岁「老司机」困在算法里,工作4年却因机器评分太低被开除!

    点击上方"AI遇见机器学习",选择"星标"公众号 重磅干货,第一时间送达 来源:外媒 编辑:LQ [导读]63岁的老司机诺曼丁为亚马逊Flex配送干了4年,11 ...

  5. chrome postman插件_收集了一些Chrome插件神器,助你快速成为老司机

    刚开始开发项目的时候,我一直都在用火狐,因为它有一个fireBug插件,特别好用(目前已不支持),也不知道什么时候,就一直用起来Chrome浏览器了,可能是因为它有强大的插件作为后盾吧.开发了这么多年 ...

  6. 酷课堂iOS交流群,聚集了一群热爱技术、有趣、有料,平均Q龄在10年以上的“老司机”,他们遍布在全国...

    新书即将上市: 这两天收到出版社的样书,预计这两周将陆续开始上架,感兴趣的小伙伴,到时可在天猫.当当.京东搜索"李发展"即可找到. 本书内容简介和适合人群: 本书包含Swift 4 ...

  7. 60个Chrome神器插件大收集:助你快速成为B站老司机,一键分析网站技术栈

    乾明 编辑整理  量子位 报道 | 公众号 QbitAI 让WebP图片下载为PNG格式,从Github批量下载表情包,一键滚动截屏整个网页,助你快速成为B站老司机,一键分析网站技术栈,翻录网页视频神 ...

  8. 我学习 Java 的历程和体会(写给新手看,欢迎老司机批评和建议,持续更新中)

    我学习 Java 的历程和体会(写给新手看,欢迎老司机批评和建议,持续更新中) 最初写这篇文章的时候,是在今年的 9 月中旬.今天,我想再写写这将近两个多月以来的感受. 在今年的 10 月我来到北京求 ...

  9. rust矿洞绳子怎么爬下_车底下绑一根绳子妙用在哪?看看老司机怎么说!

    汽车的出现提高了我们工作和生活的效率,但汽车也是一个"伤人利器",如果不好好了解关于汽车的一些知识,在使用的过程中就可能会出现一些错误操作,导致汽车和我们自身都受到伤害:所以老司机 ...

  10. 【AI学院】新手如何学CV?老司机带学有三书籍《深度学习之图像识别》,赠书8本...

    为什么以及怎么学计算机视觉? 作为一个普通的程序员,如果能转型成为一个计算机视觉算法工程师,带来的不仅是高薪,还有从劳动密集型工种转化为智力密集型工种带来的"阶级跃迁".因为相对于 ...

最新文章

  1. idea Debug快捷键
  2. svn客户端文件显示灰色的对号代表什么
  3. 【机器学习】关于机器学习模型可解释(XAI),再分享一招!
  4. 警惕技术人员的极端性
  5. java StringUtils方法全览
  6. 本地索引和全局索引的适用场景
  7. Hadoop---(2)HDFS 介绍
  8. 中继链路,以太网通道,DHCP配置
  9. cjuiautocomplete ajax,Yii CJuiAutoComplete小部件:空响应消息事件
  10. java:高速排序算法与冒泡排序算法
  11. zk4android,zk4 复刻实战有感
  12. sublime 添加 ConvertToUTF-8
  13. 磨刀室-文本编辑之全面接触PDF:最好用的PDF软件汇总(转)
  14. M/M/m排队模型 (单队列多服务台并联服务模型)数学建模: 基于生灭过程的理论计算和基于事件推进的Matlab模拟仿真思路
  15. 计算机基础考试在线搜题,计算机基础考试题库 (含答案).doc
  16. activity has leaked window
  17. 旧文 2012.12.07 关于和赛扶
  18. 中文、\uxxxx、\x xx、base64的相互转码
  19. 隐藏Windows系统托盘图标
  20. 时间管理自我管理的演讲稿

热门文章

  1. 森林经理数据分析软件操作指南
  2. 1.小图片样本数据增强
  3. 第三方支付预付卡业务详解
  4. ​换电站:一个「利用户、利蔚来、利电力改革」的能源产品
  5. 【无标题】风电接入高海拔地区配电网的混合储能两阶段优化模型
  6. 为学 (清 彭端淑)
  7. linux系统无法识别固态硬盘_我想装Linux操作系统,但是为什么总无法识别硬盘啊?...
  8. 举个栗子~Tableau 技巧(210):改变标签和列名称的位置
  9. http://localhost:63342/健身房前端项目开发/Fitness_room/css/bootstrap.min.css.map?_ijt=9ldd0n7td4j0b0neg8f55qn
  10. PAT (Basic Level) Practice 1~7