iOS 及 Android 系統皆擁有各自的語音輸入系統及與之相配的智能助手,令用家只需使用語音指令便能使用手機各種功能。但最近卻有研究員發現,Android 的語音輸入系統可隨時成為出賣用家私隱的兇手!
香港中文大學工程學院信息工程系助理教授張克環及其研究團隊發現,由於 Android 系統預設接受所有由已配對的藍牙麥克風發出的指令,即使手機處於鎖定狀態下系統仍會回應用家的語音指令。因此該團隊藉此研發了一個名為「 VoicEmployer 」的惡意程式,該程式利用他們在 Android 的語音搜索系統發現的漏洞,成功繞過手機的保安系統並向 Google Now 發送語音指令,並促使手機執行收到的指令。
在這個「自言自語」的狀態下,即使手機仍然以密碼上鎖,團隊仍然成功命令手機致電至指定聯絡人、發送電郵及短訊、查詢目前位置等,用家私隱頓時蕩然無存。團隊表示已向 Google 反映有關問題,對方亦承諾盡快修補相關漏洞。張克環呼籲用家不要胡亂安裝不明來歷的程式,避免用家的手機被控制。
至於 iOS 方面,目前團隊並未測試 Siri 是否存在同樣漏洞,因此不能確定 iOS 系統是否亦受影響。
