Les pirates ont utilisé Google Home et Amazon Alexa pour récupérer et enregistrer leurs mots de passe

Google Home Amazon Alexa Abused by Hackers

Entamez une discussion sur les implications de la possession d'un haut-parleur intelligent, tel Alexa ou Amazon, sur la vie privée, et vous verrez probablement deux groupes de personnes bien définis se former presque immédiatement. La première affirmera que les haut-parleurs intelligents sont essentiellement des écoutes électroniques connectées à Internet qui peuvent être utilisées pour nous espionner et doivent donc être tenus aussi éloignés que possible de chez nous. L'autre groupe dira aux sceptiques de ranger leurs chapeaux en papier d'aluminium et de profiter de la commodité des gadgets high-tech de l' Internet des objets (IoT) .

Le fait qu'Amazon et Google aient vendu des millions d'appareils d'aide à domicile montre qu'il y a plus d'amateurs de haut-parleurs intelligents que d'adversaires. Les propriétaires d’Amazon Alexa et de Google Home voudront peut-être faire preuve de plus de prudence, car, il y a quelques jours, des experts de SRLabs ont publié un rapport qui montre que, dans ce cas particulier, les théories du complot pourraient ne pas être aussi lointaines. allé chercher.

Les haut-parleurs intelligents sont livrés avec quelques fonctionnalités utiles, en particulier si vous les connectez à d'autres appareils IoT. La fonctionnalité des assistants à domicile peut encore être étendue à l'aide d'applications (ou de compétences) tierces, et comme vous vous en doutez peut-être déjà, les chercheurs de SRLabs ont découvert non pas un, mais deux moyens d'abuser de ces applications tierces.

Des compétences malveillantes en matière de haut-parleur intelligent peuvent voler les informations de connexion des utilisateurs

La première des deux attaques commence lorsque l'utilisateur demande à Alexa ou à Google Home de récupérer leur horoscope à l'aide d'une compétence développée par les chercheurs. Au lieu de lire l'horoscope, toutefois, l'application renvoie un message d'erreur indiquant que le service n'est pas disponible dans ce pays. Après environ une minute de silence, l'enceinte intelligente annonce soudainement qu'une mise à jour de sécurité est disponible et que son installation nécessite le mot de passe de l'utilisateur.

En réalité, il n'y a pas de mise à jour et l'ensemble de l'opération est conçu pour voler les informations d'identification de connexion des personnes. Après le message d'erreur, l'application d'horoscope malveillant alimente le moteur de synthèse vocale du locuteur intelligent avec une chaîne de caractères imprononçable - "�." (U + D801, point et espace), ce qui permet à l'assistant de rester silencieux pendant une période prédéfinie. de temps. Ceci est fait pour amener les gens à penser que l'application est fermée, ce qui est essentiel pour qu'ils sachent qu'une mise à jour est en attente. À partir de ce moment, le succès de l'attaque de phishing dépend du fait que l'utilisateur ignore ou non qu'un haut-parleur intelligent ne demandera jamais un mot de passe de cette manière. Lors de la seconde attaque de SRLabs, la compréhension par l'utilisateur du fonctionnement de ces périphériques joue un rôle moins important.

Des enceintes intelligentes peuvent être transformées en écoutes téléphoniques

Dans ce cas, la stratégie pour Amazon Alexa et Google Home était légèrement différente, mais le but était identique: espionner les utilisateurs furtivement.

Pour Alexa, les chercheurs ont développé une autre application Horoscope capable de lire l'horoscope. L’attaquant espère qu’à mi-parcours de l’explication de l’influence de Mercury sur notre vie personnelle, l’utilisateur se fatigue et donne la commande «Stop». Apparemment, l'application est conforme, et Alexa dit même "Au revoir". Comme vous l'avez peut-être deviné, toutefois, l'application n'a pas encore été fermée. En utilisant la même chaîne imprononçable (.), Les chercheurs désactivent le haut-parleur intelligent et l'application horoscope malveillant attend d'entendre un discours reconnaissable.. Tout ce qu'il enregistre est envoyé à l'attaquant.

Avec Google Home, SRLabs a mis en place une application de génération de nombres aléatoires qui a répondu à toutes les attentes. Après avoir généré le numéro, l'application dit également "Au revoir", et l'utilisateur est amené à croire qu'il est fermé. En réalité, la session reste ouverte et l'application attend de voir si quelque chose sera dit pendant une période prédéfinie. S'il entend quelque chose, il l'enregistre et l'envoie à l'attaquant. De manière inquiétante, les chercheurs ont déclaré que, dans de bonnes circonstances, la période d’écoute peut être prolongée indéfiniment.

Google et Amazon n'en ont pas assez fait pour contrôler les applications de haut-parleur intelligentes

L'intention de SRLabs n'était pas seulement de montrer à tout le monde comment on peut les phishing et les espionner en théorie. Ils voulaient voir si ces attaques pouvaient être pratiques, c'est pourquoi les compétences en horoscope et en générateur de nombres aléatoires sont apparues sur les magasins d'applications de Google et d'Amazon.

Ils ont été soumis à un contrôle avant leur publication, mais les chercheurs ont compris qu’une fois les applications commercialisées, Google et Amazon ne faisaient rien pour examiner les nouvelles fonctionnalités et les mises à jour. SRLabs a initialement publié des applications totalement anodines, puis a ajouté les composants malveillants sans aucun problème.

Amazon et Google ont tous deux promis que leurs processus de validation seraient mis à jour, et nous ne pouvons qu'espérer que ce soit effectivement le cas, car il est évident que les logiciels tiers ne sont pas révisés aussi bien qu'ils le devraient, en particulier compte tenu du fait que les appareils qu’il exploite ont des microphones qui nous entourent dans ce qui devrait être la vie privée de notre propre maison.

October 22, 2019
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.