Hackere beskæftigede Google Home og Amazon Alexa til Eavesdrop og registrer adgangskoder
Start en diskussion om privatlivets konsekvenser ved at eje en smart højttaler som Amazons Alexa eller Googles hjem, og du vil sandsynligvis se to veldefinerede grupper af mennesker næsten øjeblikkeligt. Den første vil hævde, at smarte højttalere stort set er internetforbundne wiretaps, som kan bruges til at spionere på os og derfor bør holdes så langt væk fra vores hjem som muligt. Den anden gruppe vil fortælle skeptikerne at lægge deres tinfoil hatte væk og nyde bekvemmeligheden ved high-tech Internet of Things (IoT) gadgets.
Det faktum, at Amazon og Google har solgt millioner af hjemmeassistent-enheder, viser, at der er flere smarte højttalere fans end modstandere. Amazon Alexa og Google Home-ejere vil måske være lidt mere forsigtige med deres optimisme, for for et par dage siden offentliggjorde eksperter fra SRLabs en rapport, der viser, at i dette særlige tilfælde kan konspirationsteorierne muligvis ikke være så langt- hentet.
Ud af kassen kommer smarte højttalere med en hel del nyttige funktioner, især hvis du slutter dem til andre IoT-enheder. Hjemmeassistenternes funktionalitet kan dog udvides yderligere ved hjælp af apps fra tredjepart (eller færdigheder), og som du måske allerede har gætt, fandt SRLabs 'forskere ikke en, men to måder at misbruge disse tredjepartsapplikationer.
Table of Contents
Ondsindede smarte højttalerfærdigheder kan stjæle brugeres loginoplysninger
Den første af de to angreb starter med, at brugeren beder Alexa eller Google Home om at hente deres horoskop ved hjælp af en færdighed, der er udviklet af forskerne. I stedet for at læse horoskopet returnerer appen dog en fejlmeddelelse, der siger, at tjenesten ikke er tilgængelig i dette land. Efter cirka et minuts stilhed meddeler den smarte højttaler pludselig, at en sikkerhedsopdatering er tilgængelig, og at installation af den kræver brugerens adgangskode.
I virkeligheden er der ingen opdatering, og hele handlingen er designet til at stjæle folks loginoplysninger. Efter fejlmeddelelsen mater den ondsindede horoskopapplikation den smarte højttalers tekst-til-tale-motor med en uudtalelig streng med tegn - "�." (U + D801, punktum og et mellemrum), der holder assistenten tavs i en forudindstillet periode af tid. Dette gøres for at narre folk til at tro, at applikationen er lukket, hvilket er vigtigt, hvis de vil tro, at en opdatering virkelig verserer. Fra da af afhænger phishingangrebets succes af, om brugeren ikke glemmer det faktum, at en smart højttaler aldrig ville bede om en adgangskode på en sådan måde. I SRLabs andet angreb spiller brugerens forståelse af, hvordan disse enheder fungerer, en mindre rolle.
Smart højttalere kan omdannes til wiretaps
I dette tilfælde var strategien for Amazon Alexa og Google Home lidt anderledes, men målet var identisk - stealthily aflytning af brugerne.
For Alexa udviklede forskerne en anden Horoscope-app, der faktisk kan læse horoskopet. Angriberen håber, at brugeren halvvejs gennem forklaringen af Mercurys indflydelse på vores personlige liv bliver træt og udsender en "Stop" -kommando. Appen tilsyneladende overholder, og Alexa siger endda "Farvel". Som du måske har gætt, har appen imidlertid ikke lukket. Ved hjælp af den samme uudtalelige streng (�.) Tavser forskerne den smarte højttaler, og den ondsindede horoskop-app venter på at høre enhver genkendelig tale. Alt, hvad det registrerer, sendes til angriberen.
Med Google Home sammensatte SRLabs en applikation til generator af tilfældigt tal, der gjorde, hvad der var forventet af det. Efter at have genereret nummeret siger appen også "Farvel", og brugeren bliver narret til at tro, at den er lukket. I virkeligheden forbliver sessionen åben, og appen venter på at se, om der vil blive sagt noget i løbet af en forudindstillet periode. Hvis det hører noget, registrerer det det og sender det til angriberen. Foruroligende sagde forskerne, at aflyttningsperioden under de rette omstændigheder kan forlænges på ubestemt tid.
Google og Amazon har ikke gjort nok for at dyrke smarthøjttalerapps
SRLabs hensigt var ikke kun at vise alle, hvordan de kan phishing og spioneres i teorien. De ønskede at se, hvor praktiske disse angreb kunne være, og det er grunden til, at horoskop- og tilfældighedsgeneratorfærdighederne faktisk optrådte i Google og Amazons app-butikker.
De gennemgik en check, før de blev offentliggjort, men forskerne indså, at når apps først var derude, gør Google og Amazon intet for at gennemgå de nye funktioner og opdateringer. SRLabs udgav oprindeligt apps, der var helt godartede og tilføjede senere de ondsindede komponenter uden problemer.
Både Amazon og Google har lovet, at deres godkendelsesprocesser vil blive opdateret, og vi kan kun håbe, at dette er tilfældet, fordi det er helt klart, at tredjepartssoftware ikke gennemgås så godt som det skal være, især i betragtning af, at de enheder, den opererer, har mikrofoner, der er omkring os i hvad der skal være privatliv i vores egne hjem.
