亚马逊跨境电商

惊!「网络安全事件」Alexa

-亚马逊alexa破解 -打击者 -打击 -语音助手

【我们为什么挑选这篇文章】

在科技日益进步的如今,我们生活中越来越多的物品都参加了很多便利的科技元素,并借由将这些物品连结至网路,创造出一个看似方便的「物联网」。但是在我们享受便利的同时,有没有想过这些物品假如有一天像!电脑一样被骇客打击的时间,会发生什么事情呢?

正如我们已往没有想过有一天汽车也会被骇客打击,当一个喇叭被内建了微型电脑与麦克风,还连上网路,就有大概成为被打击的目的,然而普罗大众对于这些” 不向电脑” 的物品,每每就不如像手机电脑那般的注意” 安全”。

克日,一名英国研究员就展示了怎样入侵一台聪明助理系统,而且使用他来做出很多的事情,包含远端窃听、偷取帐户资讯,甚至作为打击电脑装备的中继站等,在看完后也盼望大家能在这块上面有更多的警惕。

〈责任编辑:林厚勳〉

克日,英国安全研究职员 Mark Barnes 展示了入侵亚马逊 Echo 的技能。通过这项技能,任何人都可以在 Echo 上安装恶意软体,并将装备的语音输入发送到远端伺服器上。打击者需要直接打仗 Echo ,并且这个方法只实用于 2017 年前的装备,不外,这个漏洞无法修补,打击者也不会留下任何的证据。

Barnes 使用了旧款 Echo 装备上的一个漏洞。把 Echo 的底座去掉,你会看到装备底部的一些小金属垫。这些金属垫连接着 Echo 内部的硬件,大概是用于测试或修补软体漏洞的。通过此中一个金属垫, Echo 可以读取 SD 卡上的数据。于是, Barnes 使用了上面的两个金属垫,分别连接到电脑和读卡器上。然后,他给 Echo 装上了新的 Bootloader ,关掉了系统的安全机制,而且安装了恶意软体。

(图片来自 adage)

卸下装备的塑料基座,你就能直接打仗到那些金属垫, 」Barnes 对 Wired 网站 说, 你可以制作一个专用装备,直接连接到底座上,那样,你不会留下任何显着的入侵证据了。 在入侵系统后, Barnes 编写了一个简单脚本,可控制系统的语音功能。他表现,恶意软体也可以做出越发恶劣的行为,好比打击网络的别的装备、偷取用户的帐号,要么安装打单软体。

(图片来自 zdnet)

新款的 Echo 已经修复了这个问题。但是,旧款 Echo 的漏洞无法通过软体修补。 Barnes 告诫说,第三方销售的 Echo 有大概安装了恶意软体,并且,尽量不要在公共场所要么宾馆房间使用 Echo 装备。 在那种环境下,你无法控制打仗装备的人, 他说, 曾经留宿的客人大概安装了什么工具,要么是干净工和别的什么人。

不外,恶意软体无法操控 Echo 上的 静音 按键。 Barnes 说,假如 静音 被开启,他无法通过软体打开语音。对于那些在意隐私的人,他提供了一个简单的解决方案, 把它关掉吧。

题图来自 androidcommunity

亚马逊alexa破解

智能语音助手大概被打击者可以使用激光发送长途、听不清的下令挟制。

研究职员发现了一种仅通过使用激光光束来入侵Alexa和Siri智能音箱的新方法。发起打击不需要对受害者的装备进行物理访问,也不需要与全部者进行交互,即可发起黑客打击,从而使打击者可以向语音助手发送听不见的下令,比方开门。

这种被称为""的打击使用了智能助手麦克风的计划。这些被称为微机电系统(MEMS)麦克风,它们通过将声音(语音下令)转换为电信号来工作-但除了声音之外,研究职员还发现MEMS麦克风还对直接瞄准它们的光产生反响。

研究职员表现,他们可以或许通过在麦克风上发射激光(最远可达110米,即360英尺)来发出听不清的指令,这些麦克风安装在种种盛行的语音助手上,包括亚马逊Alexa、苹果Siri、Facebook Portal和谷歌Assistant。

密歇根大学和东京电子通讯大学的研究职员在周一发布的一份研究陈诉中说:"通过以光束的强度调制电信号,打击者可以诱使麦克风产生电信号,就似乎他们收到的是真实的音频一样。"

MEMS麦克风有一个叫做隔阂的内置小板,称为振动膜,当声音或光芒撞击时,它会发出电信号,然后转换成下令。研究职员发现,他们可以使用激光束的强度来"编码"声音,而不是语音指令。激光束的强度会导致隔阂移动,产生代表打击者指令的电信号。

发现这次打击事件的研究职员之一丹尼尔·金金(Daniel Genkin)告诉Threatpost,他们可以或许根据光束的强度对声音进行特定编码-如此猛烈的声音意味着大量的光,而微小的声音大概不发出光。

为了使用激光束发出这样的下令,研究职员丈量了光强度(使用光电二极管功率传感器),并测试了种种光强度(或二极管电流)对麦克风输出的影响。

他们说:"我们使用Tektronix MSO5204示波器记载了二极管电流和麦克风的输出。""这些试验是在普通的办公环境中进行的,人类的语音,盘算机装备和空调系统都产生了典型的环境噪声。"

在实际生活中的打击中,打击者大概站在楼房表面,而且有大概将激光照射到可以透过窗户看到的语音助手上。打击者可以从那边下令语音助手打开门,在线购置,长途启动车辆或其他恶意行为。

研究职员说,更糟糕的是,这种打击可以"轻松,便宜地发动"。他们说,他们使用了一个简单的激光指示器(在亚马逊上仅售14美元),以及一个激光驱动器(旨在通过提供电流来驱动激光二极管)和一个声音放大器来发动打击。研究职员则使用了连接到Thorlabs LDC205C电流驱动器的蓝色Osram PLT5 450B 450 nm激光二极管。

打击者大概还需要用于激光聚焦的装备,包括一个齿轮三脚架头、贸易上可以买到的长焦镜头或望远镜,以便从远间隔看到麦克风端口。

研究职员用多种使用语音助手的装备测试了这次打击,包括谷歌NEST Cam IQ、Echo、iPhone XR、三星Galaxy S9和谷歌Pixel 2。他们表现,尽管这篇论文关注的是Alexa、Siri、Portal和谷歌Assistant,但任何使用MEMS麦克风、在没有分外用户确认的环境下对数据进行操作的系统都大概存在漏洞。

研究职员说,到现在为止,还没有迹象表明这种打击已被恶意使用。他们现在正在与语音助手供给商互助,以减轻打击。

好消息是,研究职员已经确定了可以帮助抵抗打击的步骤,比方进一步的身份验证,传感器融合技能(比方要求装备从多个麦克风获取音频)或!在麦克风顶部安装覆盖物以降低声音量射到麦克风上。

他们说:"附加的身份验证层可以在某种程度上减轻打击的影响。""要么,假如打击者无法窃听装备的相应,则在下令实行之前让装备向用户扣问一个简单的!随机问题大概是防备打击者成功实行下令的有用方法。"

Threatpost已联系Apple和Facebook,以寻求进一步评述。

亚马逊发言人告诉Threatpost说:"客户的信托是我们的主要使命,我们认真看待客户安全和产品安全。""我们正在检察这项研究,并继续与作者互动,以理解他们的工作的更多信息。"

谷歌发言人对Threatpost表现:"我们正在细致检察这份研究论文。""葆护用户至关重要,我们不停在寻找进步装备安全性的方法。

语音助手通常只会给你非常简短的新消息摘要,在用户很忙的环境下,这是很有帮助的,但亚马逊日前以为用户需要深条理的工具。

亚马逊将会美国推出Alexa的深度新消息功能,提供来自彭博(Bloomberg)、CNBC、CNN、福克斯新消息(Fox news)、Newsy和NPR的长篇新消息。

用户说出Alexa“告诉我新消息”或用别的渠道播放新消息,就会从全部提供商那边得到具体的音频,甚至从CNBC和Newsy那边观看到新消息视频。假如你不肯意细致阅读每个故事,你可以选择跳过,只听自己感爱好的新消息。

新消息音频可以在任何装有Alexa驱动的装备上工作,而视频则需要配备屏幕的智能装备,好比Echo Show。这将是一个受欢迎的更新,由于之前有许多人诉苦新消息被简化成一句话。当你不方便拿脱手机或打开电视的时间,语音助手赐与用户一个收听具体新消息的时机。

实在在中国也已经有如此人性化的服务了,天猫精灵携手传统媒体推出了“语音头条”智能资讯产品,用户只需要发出“早上好、晚上好”或类似“来段新消息”这样的语音指令,即可获取当地资讯信息。

随着智能音箱的不停优化,众多传统媒体使用AI技能和算法为用户提供围绕活场景的当地资讯服务,构建“语音头条”联合运营体系,把以用户体验为焦点的探索发挥到极致。

特殊声明:以上内容(如有图片或视频亦包括在内)为!自媒体平台“网易号”用户上传并公布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao!, which is a social media platform and only provides information storage services.

本文网址: http://www.kjdsamz.cn/p/20209219206_2719_1084752748/home