Zawartość
- Hasła do phishingu głosowego w głośnikach Amazon Echo i Google Home
- Podsłuchiwanie użytkowników przez głośniki Amazon Echo i Google Home
Wiedzieliśmy, że Google i Amazon słuchają ich użytkowników za pomocą aktywowanych głosem głośników Echo i Home smart. Jednak grupa naukowców zajmujących się bezpieczeństwem wykazała, w jaki sposób aplikacje innych firm mogą łatwo podsłuchiwać użytkowników i wrażliwe na phishing informacje, takie jak hasła.
Badacze z niemieckiego SRLabs znaleźli dwa scenariusze włamań - podsłuch i phishing - zarówno dla urządzeń Amazon Alexa, jak i Google Home / Nest. Stworzyli osiem aplikacji głosowych (umiejętności dla Alexy i działania dla Google Home), aby zademonstrować hacki, które zamieniają te inteligentne głośniki w inteligentnych szpiegów. Złośliwe aplikacje głosowe utworzone przez SRLabs z łatwością przeszły przez indywidualne procesy sprawdzania Amazon i Google.
Zastosowano różne podejścia do podsłuchiwania użytkowników Amazon Alexa i Google Home oraz wyłudzania od nich informacji. Badacze mogli zmienić funkcjonalność umiejętności i działań, które stworzyli w celu hakowania po zatwierdzeniu aplikacji przez Amazon i Google. Po wprowadzeniu wspomnianych zmian nie było drugiej rundy recenzji.
Hasła do phishingu głosowego w głośnikach Amazon Echo i Google Home
Na poniższym filmie widać, jak użytkownicy proszą Alexę o uruchomienie umiejętności o nazwie Mój szczęśliwy horoskop. Jest to złośliwa umiejętność Alexa stworzona i zmodyfikowana przez SRLabs w celu wyłudzenia haseł.
Aplikacja nie wita, a zamiast tego odpowiada: „Ta umiejętność nie jest obecnie dostępna w twoim kraju”. W tym momencie użytkownik mógłby założyć, że aplikacja przestała słuchać, ale tak naprawdę nie jest. Zamiast tego umiejętność została zhakowana, by powiedzieć sekwencję znaków, której Alexa nie jest w stanie wymówić, dlatego mówca milczy, gdy jest rzeczywiście wstrzymany i słucha.
Następnie umiejętność odgrywa phishing, mówiąc: „Dostępna jest nowa aktualizacja dla twojego urządzenia Alexa. Powiedzmy, że zacznij od hasła. ”Chociaż Amazon nigdy nie prosi o hasło w ten sposób, nieświadomi użytkownicy mogą być zaskoczeni.
Podobne podejście zastosowano w przypadku haseł phishingowych w głośniku Google Home Mini.
Podsłuchiwanie użytkowników przez głośniki Amazon Echo i Google Home
Do podsłuchu naukowcy wykorzystali tę samą aplikację horoskopową dla inteligentnego głośnika Amazon. Aplikacja podstępnie przekonuje użytkownika, że został zatrzymany, gdy cicho nasłuchuje w tle.
W przypadku Google Home włamanie było jeszcze łatwiejsze i nie trzeba było podawać słów inicjujących, aby podsłuchiwać. Naukowcy zauważają, że w tym przypadku użytkownik jest zapętlony, ponieważ „urządzenie stale wysyła sygnały głosowe do serwera hakera, jednocześnie przerywając krótką ciszę”.
SRLabs usunął wszystkie aplikacje pokazane w powyższych filmach. Naukowcy zgłosili również swoje odkrycia do Amazon i Google.
Zgodnie z Ars Technica, obie firmy odpowiedziały, że zmieniają swoje procedury zatwierdzania i przyjmują dodatkowe mechanizmy, aby uniknąć takich hacków w przyszłości.
Jednak nie ma aktualizacji ani od Amazon, ani Google, aby powiedzieć, kiedy te problemy zostaną naprawione. Nie ma też możliwości dowiedzenia się, czy umiejętność lub działanie niewłaściwie wykorzystywało te luki w przeszłości.
