Hackerek a Google Home és az Amazon Alexa alkalmazásával foglalkoztak és hallgatták meg a jelszavakat
Keressen megbeszélést az intelligens hangszóró - például az Amazon Alexa vagy a Google's Home - tulajdonjogának magánéletének következményeiről, és valószínűleg majdnem azonnal láthat két jól meghatározott embercsoportot. Az első azzal érvel, hogy az intelligens hangszórók alapvetően internet-csatlakozással ellátott vezetékes csapdák, amelyek ránk kémlelésre használhatók, ezért azokat lehető legtávolabb kell tartani otthonunktól. A másik csoport megmondja a szkeptikusoknak, hogy tegyék el az ónokszapkaikat és élvezzék a csúcstechnológiájú tárgyak internete (IoT) eszközöinek kényelmét.
Az a tény, hogy az Amazon és a Google több millió otthoni asszisztens eszközt értékesített, azt mutatja, hogy több okos hangszóró rajongó van, mint ellenfelek. Az Amazon Alexa és a Google Home tulajdonosai azonban kissé óvatosabbak lehetnek az optimizmusukkal kapcsolatban, mivel néhány nappal ezelőtt a SRLabs szakértői jelentést tettek közzé , amely azt mutatja, hogy ebben az esetben az összeesküvés-elméletek valószínűleg nem olyan távoliak - erőltetett.
A dobozból az intelligens hangszórók nagyon sok hasznos funkcióval rendelkeznek, különösen, ha más IoT eszközökhöz csatlakoztatják őket. A háziasszisztensek funkcionalitása tovább bővíthető harmadik féltől származó alkalmazások (vagy készségek) segítségével, és amint már talán kitaláltad, a SRLabs kutatói nem egy, hanem két lehetőséget találtak a harmadik féltől származó alkalmazások visszaélésére.
Table of Contents
A rosszindulatú intelligens hangszórói készségek ellophatják a felhasználók bejelentkezési adatait
A két támadás közül az első azzal kezdődik, hogy a felhasználó felkéri az Alexát vagy a Google Home-ot, hogy a kutatók által kifejlesztett készséggel vonja be horoszkópját. A horoszkóp elolvasása helyett az alkalmazás hibaüzenetet küld, amelyben azt mondja, hogy a szolgáltatás nem érhető el ebben az országban. Körülbelül egy perc csend után az intelligens hangszóró hirtelen bejelenti, hogy rendelkezésre áll egy biztonsági frissítés, és a telepítéséhez a felhasználó jelszava szükséges.
A valóságban nincs frissítés, és az egész művelet célja az emberek bejelentkezési adatainak lopása. A hibaüzenet után a rosszindulatú horoszkóp alkalmazás az intelligens hangszóró szöveg-beszéd motorját kiszámíthatatlan karakterláncokkal - "�" (U + D801, pont és szóköz) betáplálja, amely az asszisztens egy előre beállított ideig csendes marad. idő. Ennek célja az emberek arra való rácsapása, hogy azt gondolják, hogy az alkalmazás bezárult, ami elengedhetetlen, ha azt gondolják, hogy egy frissítés még folyamatban van. A továbbiakban az adathalász támadás sikere attól függ, hogy a felhasználó elfelejt-e attól, hogy az intelligens hangszóró soha ne kérjen ilyen módon jelszót. A SRLabs második támadásában kisebb szerepet játszik a felhasználó megértése ezen eszközök működéséről.
Az intelligens hangszórók vezetékes hangjelzőkké alakíthatók
Ebben az esetben az Amazon Alexa és a Google Home stratégiája kissé eltérő volt, de a cél azonos volt - a felhasználók lopakodó lehallgatása.
Alexa számára a kutatók kifejlesztettek egy másik horoszkóp alkalmazást, amely valóban képes olvasni a horoszkópot. A támadó reméli, hogy a Mercury személyes életünkre gyakorolt befolyásának magyarázatának felénél a felhasználó fáradtvá válik és "Stop" parancsot ad ki. Az alkalmazás látszólag megfelel, és Alexa még azt is mondja: Viszlát. Amint valószínűleg kitaláltad, az alkalmazás valójában nem zárult be. Ugyanezen ki nem mondható húr (�.) Felhasználásával a kutatók elnémítják az intelligens hangszórót, és a rosszindulatú horoszkóp alkalmazás vár bármilyen felismerhető beszéd hallására. Mindent, amit rögzít, elküldik a támadónak.
A Google Home segítségével a SRLabs véletlenszám-generátor alkalmazást állított össze, amely elvégezte az elvárásokat. A szám generálása után az alkalmazás azt is mondja: "Viszlát", és a felhasználót becsapják arra gondolva, hogy bezárt. A valóságban a munkamenet nyitva marad, és az alkalmazás arra vár, hogy megnézze-e valamit egy előre beállított ideig. Ha hall valamit, rögzíti és elküldi a támadónak. Aggódóan a kutatók azt állították, hogy megfelelő körülmények között a hallgatási időszak határozatlan időre meghosszabbítható.
A Google és az Amazon nem tett eleget az intelligens hangszóró alkalmazások ellenőrzéséhez
A SRLabs célja nem volt, hogy mindenki csak megmutassa, hogyan lehet adathalászat és kémkedés. Meg akarták látni, hogy ezek a támadások mennyire praktikusak lehetnek, ezért jelentek meg a horoszkóp és a véletlenszám-generátor készségek a Google és az Amazon alkalmazásüzleteiben.
A közzétételük előtt ellenőrizték őket, de a kutatók rájöttek, hogy miután az alkalmazások ott voltak, a Google és az Amazon nem tesz semmit az új funkciók és frissítések áttekintése érdekében. A SRLabs kezdetben teljesen jóindulatú alkalmazásokat tett közzé, majd később probléma nélkül hozzáadta a rosszindulatú összetevőket.
Az Amazon és a Google egyaránt megígérte, hogy ellenőrzési folyamataikat frissítik, és csak remélhetjük, hogy valóban ez a helyzet, mert egyértelmű, hogy a harmadik féltől származó szoftvereket nem felülvizsgálják olyan jól, ahogy kellene, különös tekintettel arra, hogy az általa működtetett eszközöknek vannak olyan mikrofonjai, amelyek körül vannak körülöttünk, mi legyen a saját otthonunk magánélete.
