Hacker setzten Google Home und Amazon Alexa ein, um Passwörter abzuhören und aufzuzeichnen
Wenn Sie eine Diskussion über die Auswirkungen des Besitzes eines intelligenten Lautsprechers wie Amazons Alexa oder Googles Home beginnen, werden sich wahrscheinlich sofort zwei genau definierte Personengruppen bilden. Der erste wird argumentieren, dass es sich bei intelligenten Lautsprechern im Grunde genommen um mit dem Internet verbundene Abhörgeräte handelt, die zum Ausspionieren von uns verwendet werden können und daher so weit wie möglich von unseren Häusern entfernt sein sollten. Die andere Gruppe fordert die Skeptiker auf, ihre Alufolienhüte wegzulegen und die Vorteile von High-Tech-Geräten für das Internet der Dinge (Internet of Things, IoT) zu nutzen .
Die Tatsache, dass Amazon und Google Millionen von Heimassistenzgeräten verkauft haben, zeigt, dass es mehr Fans von intelligenten Lautsprechern als Gegner gibt. Die Eigentümer von Amazon Alexa und Google Home möchten möglicherweise etwas vorsichtiger mit ihrem Optimismus umgehen, da Experten von SRLabs vor einigen Tagen einen Bericht veröffentlicht haben, aus dem hervorgeht, dass die Verschwörungstheorien in diesem speziellen Fall möglicherweise nicht so weit entfernt sind. geholt.
Intelligente Lautsprecher sind standardmäßig mit zahlreichen nützlichen Funktionen ausgestattet, insbesondere, wenn Sie sie an andere IoT-Geräte anschließen. Die Funktionalität der Heimassistenten kann jedoch mithilfe von Apps (oder Fähigkeiten) von Drittanbietern weiter erweitert werden. Wie Sie bereits vermutet haben, haben die Forscher von SRLabs nicht nur eine, sondern zwei Möglichkeiten gefunden, diese Anwendungen von Drittanbietern zu missbrauchen.
Table of Contents
Böswillige Smart Speaker-Fähigkeiten können die Anmeldeinformationen der Benutzer stehlen
Der erste der beiden Angriffe beginnt damit, dass der Benutzer Alexa oder Google Home auffordert, sein Horoskop mit einer von den Forschern entwickelten Fähigkeit abzurufen. Anstatt das Horoskop zu lesen, gibt die App eine Fehlermeldung aus, dass der Dienst in diesem Land nicht verfügbar ist. Nach einer Schweigeminute meldet der Smart Speaker plötzlich, dass ein Sicherheitsupdate verfügbar ist und für die Installation das Kennwort des Benutzers erforderlich ist.
In Wirklichkeit gibt es keine Aktualisierung, und der gesamte Vorgang ist darauf ausgelegt, die Anmeldeinformationen von Personen zu stehlen. Nach der Fehlermeldung füttert die Anwendung des böswilligen Horoskops die Text-to-Speech-Engine des Smart Speakers mit einer unaussprechlichen Zeichenfolge - "�." (U + D801, Punkt und ein Leerzeichen), die den Assistenten für eine voreingestellte Zeit still hält von Zeit. Dies dient dazu, die Leute dazu zu verleiten, zu glauben, dass die Anwendung geschlossen wurde. Dies ist von entscheidender Bedeutung, wenn sie glauben möchten, dass ein Update tatsächlich aussteht. Von nun an hängt der Erfolg des Phishing-Angriffs davon ab, ob der Benutzer nicht bemerkt, dass ein intelligenter Sprecher niemals auf solche Weise nach einem Passwort fragen würde. Beim zweiten Angriff von SRLabs spielt das Verständnis des Benutzers für die Funktionsweise dieser Geräte eine geringere Rolle.
Intelligente Lautsprecher können in Abhörgeräte umgewandelt werden
In diesem Fall war die Strategie für Amazon Alexa und Google Home etwas anders, aber das Ziel war identisch - die Benutzer heimlich zu belauschen.
Für Alexa entwickelten die Forscher eine weitere Horoskop-App, mit der das Horoskop tatsächlich gelesen werden kann. Der Angreifer hofft, dass der Benutzer nach der Hälfte der Erklärung des Einflusses von Merkur auf unser persönliches Leben müde wird und einen Stoppbefehl ausgibt. Die App scheint zu stimmen und Alexa sagt sogar "Auf Wiedersehen". Wie Sie vielleicht erraten haben, wurde die App jedoch noch nicht geschlossen. Mit der gleichen unaussprechlichen Zeichenfolge (�.) Schalten die Forscher den intelligenten Lautsprecher stumm, und die böswillige Horoskop-App wartet darauf, eine erkennbare Rede zu hören. Alles, was aufgezeichnet wird, wird an den Angreifer gesendet.
Mit Google Home haben SRLabs eine Zufallszahlengenerator-Anwendung zusammengestellt, die genau das tat, was von ihr erwartet wurde. Nach dem Generieren der Nummer sagt die App auch "Auf Wiedersehen", und der Benutzer wird dazu verleitet, zu glauben, dass sie geschlossen wurde. In Wirklichkeit bleibt die Sitzung offen und die App wartet darauf, ob während eines festgelegten Zeitraums etwas gesagt wird. Wenn es etwas hört, zeichnet es es auf und sendet es an den Angreifer. Besorgniserregend sagten die Forscher, dass die Abhörzeit unter den richtigen Umständen auf unbestimmte Zeit verlängert werden kann.
Google und Amazon haben nicht genug getan, um Smart-Speaker-Apps zu überprüfen
SRLabs wollte nicht nur jedem zeigen, wie man sie theoretisch ausspionieren und ausspionieren kann. Sie wollten wissen, wie praktisch diese Angriffe sein könnten, weshalb die Fähigkeiten des Horoskops und des Zufallsgenerators tatsächlich in den App-Stores von Google und Amazon zu finden waren.
Sie haben vor der Veröffentlichung eine Überprüfung durchlaufen, aber die Forscher stellten fest, dass Google und Amazon, sobald die Apps verfügbar waren, nichts mehr tun, um die neuen Funktionen und Aktualisierungen zu überprüfen. SRLabs veröffentlichte zunächst Apps, die vollständig harmlos waren, und fügte später die schädlichen Komponenten ohne Probleme hinzu.
Sowohl Amazon als auch Google haben versprochen, dass ihre Überprüfungsprozesse aktualisiert werden, und wir können nur hoffen, dass dies tatsächlich der Fall ist, da es ziemlich klar ist, dass Software von Drittanbietern nicht so überprüft wird, wie es sein sollte, insbesondere angesichts der Tatsache, dass Die Geräte, die es bedient, haben Mikrofone, die sich in der Privatsphäre unserer eigenen vier Wände befinden.
