Hackers Employed Google Home and Amazon Alexa to Eavesdrop and Record Passwords
Ξεκινήστε μια συζήτηση σχετικά με τις συνέπειες της ιδιωτικής ζωής από την κατοχή ενός έξυπνου ομιλητή, όπως η Alexa του Amazon ή το σπίτι της Google, και είναι πιθανό να δείτε δύο καλά καθορισμένες ομάδες ανθρώπων που σχηματίζονται σχεδόν αμέσως. Η πρώτη θα υποστηρίξει ότι τα έξυπνα ηχεία είναι βασικά συνδεόμενα με το διαδίκτυο τηλεφωνήματα τα οποία μπορούν να χρησιμοποιηθούν για την κατασκοπεία σε εμάς και πρέπει συνεπώς να παραμείνουν όσο το δυνατόν πιο μακριά από τα σπίτια μας. Η άλλη ομάδα θα πει στους σκεπτικιστές να βάλουν μακριά τα καπέλα τους και να απολαύσουν την ευκολία των gadgets υψηλής τεχνολογίας του Internet of Things (IoT) .
Το γεγονός ότι οι Amazon και η Google έχουν πουλήσει εκατομμύρια συσκευές βοήθειας στο σπίτι δείχνει ότι υπάρχουν περισσότεροι έξυπνοι οπαδοί ομιλητών από τους αντιπάλους. Ωστόσο, οι ιδιοκτήτες του Amazon Alexa και του Google Home ίσως θέλουν να είναι λίγο πιο προσεκτικοί με την αισιοδοξία τους, ωστόσο, επειδή πριν από λίγες μέρες, εμπειρογνώμονες από το SRLabs δημοσίευσαν μια έκθεση που δείχνει ότι στη συγκεκριμένη περίπτωση οι θεωρίες συνωμοσίας μπορεί να μην είναι τόσο μακριά, παρασύρεται.
Από το κουτί, τα έξυπνα ηχεία έρχονται με αρκετά χρήσιμα χαρακτηριστικά, ειδικά αν τα συνδέετε με άλλες συσκευές IoT. Ωστόσο, η λειτουργικότητα των βοηθών βοηθών μπορεί να επεκταθεί περαιτέρω με τη βοήθεια εφαρμογών τρίτων (ή δεξιοτήτων) και, όπως ίσως έχετε ήδη υποθέσει, οι ερευνητές του SRLabs δεν βρήκαν ούτε ένα, αλλά δύο τρόπους κατάχρησης αυτών των εφαρμογών τρίτων.
Table of Contents
Οι κακές δεξιότητες των έξυπνων ομιλητών μπορούν να κλέψουν τα διαπιστευτήρια σύνδεσης των χρηστών
Η πρώτη από τις δύο επιθέσεις ξεκινάει με το χρήστη που ζητά από την Alexa ή το Google Home να φέρω το ωροσκόπιο χρησιμοποιώντας μια δεξιότητα που αναπτύχθηκε από τους ερευνητές. Αντί να διαβάζετε το ωροσκόπιο, η εφαρμογή επιστρέφει ένα μήνυμα σφάλματος λέγοντας ότι η υπηρεσία δεν είναι διαθέσιμη στη χώρα. Μετά από περίπου ένα λεπτό σιωπής, το έξυπνο ηχείο ανακοινώνει ξαφνικά ότι είναι διαθέσιμη μια ενημερωμένη έκδοση ασφαλείας και ότι η εγκατάστασή της απαιτεί τον κωδικό πρόσβασης του χρήστη.
Στην πραγματικότητα, δεν υπάρχει ενημέρωση και ολόκληρη η λειτουργία έχει σχεδιαστεί για να κλέβει τα διαπιστευτήρια σύνδεσης των ανθρώπων. Μετά το μήνυμα σφάλματος, η εφαρμογή κακόβουλου ωροσκοπίου τροφοδοτεί τη μηχανή κειμένου-ομιλίας του έξυπνου ηχείου με μια μη αναγγέλσιμη σειρά χαρακτήρων - "�." (U + D801, κουκκίδα και κενό) που κρατά τον βοηθό αθόρυβο για μια προκαθορισμένη περίοδο χρονικός. Αυτό γίνεται για να ξεγελάσουν οι άνθρωποι να σκεφτούν ότι η εφαρμογή έκλεισε, κάτι που είναι απαραίτητο εάν πρόκειται να πιστέψουν ότι μια ενημέρωση πραγματικά εκκρεμεί. Από τότε, η επιτυχία της επίθεσης phishing εξαρτάται από το αν ο χρήστης παραβλέπει ή όχι το γεγονός ότι ένας έξυπνος ομιλητής δεν θα ζητούσε ποτέ έναν κωδικό πρόσβασης με τέτοιο τρόπο. Στη δεύτερη επίθεση του SRLabs, η κατανόηση του χρήστη για τον τρόπο λειτουργίας αυτών των συσκευών παίζει μικρότερο ρόλο.
Τα έξυπνα ηχεία μπορούν να μετατραπούν σε υποκλοπές
Σε αυτήν την περίπτωση, η στρατηγική για το Amazon Alexa και το Google Home ήταν ελαφρώς διαφορετική, αλλά ο στόχος ήταν πανομοιότυπος - η κρυφή υποκλοπή των χρηστών.
Για την Alexa, οι ερευνητές ανέπτυξαν μια άλλη εφαρμογή του Ωροσκοπίου που μπορεί πραγματικά να διαβάσει το ωροσκόπιο. Ο επιτιθέμενος ελπίζει ότι κατά το ήμισυ της εξήγησης της επιρροής του Ερμή στον προσωπικό μας βίο, ο χρήστης μεγαλώνει κουρασμένος και εκδίδει εντολή "Stop". Η εφαρμογή φαινομενικά συμμορφώνεται, και η Alexa μάλιστα λέει "Αντίο". Όπως ίσως έχετε μαντέψει, ωστόσο, η εφαρμογή δεν έχει κλείσει. Χρησιμοποιώντας την ίδια μη αναγγελλόμενη συμβολοσειρά (�.), Οι ερευνητές σιωπούν το έξυπνο ηχείο και η εφαρμογή κακόβουλου ωροσκόπιο περιμένει να ακούσει οποιαδήποτε αναγνωρίσιμη ομιλία. Ό, τι καταγράφει αποστέλλεται στον εισβολέα.
Με το Google Home, το SRLabs συγκέντρωσε μια εφαρμογή γεννήτριας τυχαίων αριθμών που έκανε ό, τι αναμενόταν από αυτήν. Μετά τη δημιουργία του αριθμού, η εφαρμογή λέει επίσης "Αντίο", και ο χρήστης είναι εξαπατημένος να σκεφτεί ότι έχει κλείσει. Στην πραγματικότητα, η συνεδρία παραμένει ανοικτή και η εφαρμογή περιμένει να δει αν κάτι θα ειπωθεί σε μια προκαθορισμένη χρονική περίοδο. Αν ακούει κάτι, το καταγράφει και το στέλνει στον επιτιθέμενο. Ανησυχητικά, οι ερευνητές δήλωσαν ότι υπό τις κατάλληλες συνθήκες, η περίοδος παρακολούθησης μπορεί να επεκταθεί επ 'αόριστον.
Η Google και το Amazon δεν έχουν κάνει αρκετά για να εφαρμόσουν έξυπνες εφαρμογές ομιλητών
Η πρόθεση του SRLabs ήταν να μην δείξει στον καθένα πώς μπορούν να καταπατηθούν και να κατασκοπευτούν θεωρητικά. Ήθελαν να δουν πόσο πρακτικές αυτές οι επιθέσεις θα μπορούσαν να είναι, γι 'αυτό και οι δεξιότητες γεννήτριας ωροσκόπιο και γεννήτρια τυχαίων αριθμών εμφανίστηκαν στην Google και στα καταστήματα εφαρμογών του Amazon.
Πραγματοποίησαν μια επιταγή πριν δημοσιευθούν, αλλά οι ερευνητές συνειδητοποίησαν ότι μόλις οι εφαρμογές ήταν εκεί, η Google και το Amazon δεν κάνουν τίποτα για να αναθεωρήσουν τα νέα χαρακτηριστικά και τις ενημερώσεις. Το Googleabs δημοσίευσε αρχικά εφαρμογές που ήταν εντελώς καλοήθεις και αργότερα πρόσθεσαν τα κακόβουλα στοιχεία χωρίς προβλήματα.
Τόσο η Amazon όσο και η Google έχουν υποσχεθεί ότι οι διαδικασίες εξέτασης θα επικαιροποιηθούν και μπορούμε μόνο να ελπίζουμε ότι αυτό συμβαίνει πράγματι επειδή είναι αρκετά σαφές ότι το λογισμικό τρίτου μέρους δεν έχει επανεξεταστεί, όπως θα έπρεπε, ιδίως λαμβάνοντας υπόψη το γεγονός ότι οι συσκευές που λειτουργούν έχουν μικρόφωνα που είναι γύρω μας σε ό, τι πρέπει να είναι η ιδιωτικότητα των σπιτιών μας.
