彼得·什库塔 不久前,网络上流传出窃听用户的丑闻。亚马逊和谷歌的智能音箱发挥了主导作用。现在事实证明,许多第三方应用程序可以做得更多。
亚马逊和谷歌的智能音箱与苹果不同 HomePod 一次 基本功能。它们允许第三方应用程序使用设备的硬件。两家公司的软件工程师就这样与黑客进行了一场无休无止的战斗,而黑客总是领先一步。
安全专家分享 与 ZDNet 服务器 关于他们的发现。对用户的整个攻击包括利用内置麦克风的扬声器操作系统操作中的一个简单漏洞。
这是因为第三方应用程序只能在有限的时间内访问扬声器的麦克风。但是,如果无法理解用户的命令,可以选择延长此时间。而这正是黑客所使用的路径。
发生连接错误。请输入您的 Google 帐户密码
应用程序的标准行为大致对应于以下情况:
我要求 Alexa 将连锁店的商品添加到我的应用程序购物车中。应用程序会检查订单历史记录来比较商品的参数,然后要求我确认。同时,它会激活麦克风并等待是或否的答案。如果我不回答,麦克风会在几秒钟后关闭。
但是,有一种方法可以绕过麦克风静音。这可以通过特殊的文本字符串“�. ”写入应用程序代码中。这可以轻松地将麦克风激活时间从几秒钟延长到更长。因此,应用程序可以一直窃听用户。
第二种选择更加阴险。该字符串甚至可以用于处理音频指令。随后,应用程序可能会被迫要求输入密码,例如亚马逊或谷歌帐户的密码。下面的视频清晰地展示了整个过程。
它可能是 你感兴趣
大卫·哈纳克 与此同时,苹果不允许第三方应用程序直接访问 HomePod 的麦克风,而且可能永远不会达到像亚马逊和谷歌那样的程度。所有开发人员都必须使用处理语音的特殊 API。它的用户目前是安全的。
