像Amazon Echo或Google Home这样的智能扬声器当然可以是有用的工具，但随之而来的还有一些安全问题。自这些智能扬声器首次投放市场以来，这些担忧就已经清楚地表明了。今天，一个安全研究人员团队发出警报，警告影响Google Home和Amazon Echo设备的漏洞利用，开发人员可以利用这些漏洞窃听用户或网上诱骗个人信息。

位于柏林的安全研究实验室在发布到其网站的冗长报告中详细介绍了这两种漏洞。它称这对漏洞为“ Smart Spies”黑客，它开发了一系列应用程序，不仅演示了如何进行攻击，而且还演示了利用这些漏洞的技能或应用可以绕过亚马逊和Google的批准程序的事实。 。

第一个Smart Spies hack涉及使用虚假更新警报来仿冒用户的密码。正如安全研究实验室所解释的那样，这种利用是基于以下事实：一旦一项技能或应用程序被Google或Amazon批准，更改其功能就不会触发第二次审核。考虑到这一点，安全研究实验室构建了使用“开始”一词触发功能的应用程序。

一旦该无害应用程序获得亚马逊和谷歌的批准，安全研究实验室便会重新加入，并将该应用程序的欢迎消息更改为伪造的错误消息-“您所在的国家/地区目前不具备此技能”，以使用户相信该应用程序没有开始，不再听。从那里开始，Security Research Labs使该应用程序“说”“。”的字符序列。由于该序列不可发音，说话者会沉默一段时间，从而强化了该应用程序和说话者当前均未激活的观念。

经过一段合理的沉默期后，该应用程序将以类似于Alexa或Google Assistant使用的声音播放伪造的更新警报。在上面看到的视频中，此警报使智能扬声器看起来好像有可用的更新，并且用户必须说“开始更新”，然后输入密码，以提示扬声器进行安装。由于在这种情况下，“开始”是一个触发词，因此攻击者会捕获用户的密码，而受害者却不知道他们只是将登录凭据提供给了恶意的第三方。

我们中的许多人都知道，亚马逊和Google不会通过Alexa或Assistant询问您的密码，但是这种黑客是在不知道该用户的用户的无知下发挥作用。不用说，如果您的智能扬声器要求您提供密码或信用卡号之类的个人信息，请不要放弃该信息。

第二个Smart Spies骇客更令人担忧，因为它可以使您的智能扬声器在您认为已停止应用程序时继续窃听对话。对于Echo设备和Google Home设备，执行此攻击的过程有所不同，但是两种攻击都依赖于在Amazon或Google批准应用程序后更改其运行方式。

在这两种情况下，攻击都是通过使用户认为他们已经停止了某个应用程序而进行的，而实际上该应用程序仍在静默运行。再次使用字符序列“ ...”，并且在Echo设备上，此时应用程序开始监听常见的触发词，例如“ I”，尽管这些触发词可以由攻击者定义。用户发出“停止”命令后，该应用程序会监听几秒钟，如果用户说出以该触发词开头的短语，该会话的内容就会发送到攻击者的服务器。

在Google Home上，此窃听漏洞有可能无限期运行，不仅会持续窃听用户，还会将用户尝试执行的任何其他“ OK Google”命令发送给攻击者。这意味着，当智能扬声器所有者尝试使用其他应用程序时，该漏洞可能会被用于进行中间人攻击。

安全研究实验室(Security Research Labs)在发布报告之前向Google和Amazon都报告了这些攻击，并表示两家公司都需要对最终用户实施更好的保护。SRLabs批评的核心是亚马逊和谷歌采用的有缺陷的批准流程，尽管研究人员还认为，谷歌和亚马逊应该对使用不发音字符或无提示SSML消息的应用采取行动。

SRLabs认为，亚马逊和Google也应禁止包含“密码”的输出文本，因为没有真正的理由让应用程序首先要求那些。最后，SRLabs还表示，用户应谨慎使用新的智能扬声器技能和应用程序，因为此报告清楚表明，创造性攻击者可以在逃避亚马逊和Google的注意的同时做很多事情。