Gli hacker hanno impiegato Google Home e Amazon Alexa per intercettare e registrare le password
Inizia una discussione sulle implicazioni sulla privacy di possedere un oratore intelligente come Alexa di Amazon o Home di Google e probabilmente vedrai formarsi due gruppi di persone ben definiti quasi immediatamente. Il primo sosterrà che gli altoparlanti intelligenti sono fondamentalmente intercettazioni connesse a Internet che possono essere utilizzate per spiarci e, pertanto, dovrebbero essere tenute il più lontano possibile dalle nostre case. L'altro gruppo dirà agli scettici di mettere via i loro cappelli di stagnola e di godere della comodità dei gadget Internet of Things (IoT) ad alta tecnologia.
Il fatto che Amazon e Google abbiano venduto milioni di dispositivi di assistenza a casa dimostra che ci sono più fan degli smart speaker rispetto agli avversari. I proprietari di Amazon Alexa e Google Home potrebbero voler essere un po 'più attenti con il loro ottimismo, tuttavia, perché un paio di giorni fa, gli esperti di SRLabs hanno pubblicato un rapporto che mostra che in questo caso particolare, le teorie della cospirazione potrebbero non essere così lontane- inverosimile.
All'improvviso, gli altoparlanti intelligenti sono dotati di alcune utili funzioni, soprattutto se li colleghi ad altri dispositivi IoT. La funzionalità degli assistenti domestici può essere ulteriormente estesa con l'aiuto di app (o competenze) di terze parti, tuttavia, e come avrai già intuito, i ricercatori di SRLabs non hanno trovato uno, ma due modi per abusare di queste applicazioni di terze parti.
Table of Contents
Le competenze dannose degli altoparlanti intelligenti possono rubare le credenziali di accesso degli utenti
Il primo dei due attacchi inizia quando l'utente chiede ad Alexa o Google Home di recuperare l'oroscopo usando un'abilità sviluppata dai ricercatori. Invece di leggere l'oroscopo, tuttavia, l'app restituisce un messaggio di errore che dice che il servizio non è disponibile in questo Paese. Dopo circa un minuto di silenzio, l'altoparlante intelligente annuncia improvvisamente che è disponibile un aggiornamento di sicurezza e che l'installazione richiede la password dell'utente.
In realtà, non vi è alcun aggiornamento e l'intera operazione è progettata per rubare le credenziali di accesso delle persone. Dopo il messaggio di errore, l'applicazione di oroscopo dannoso alimenta il motore di sintesi vocale del parlatore intelligente con una stringa di caratteri imprecisabile - "�." (U + D801, punto e uno spazio) che mantiene l'assistente in silenzio per un periodo predefinito di tempo. Questo viene fatto per indurre le persone a pensare che l'applicazione sia stata chiusa, il che è essenziale se crederanno che un aggiornamento sia davvero in sospeso. Da quel momento in poi, il successo dell'attacco di phishing dipende dal fatto che l'utente ignori o meno che un oratore intelligente non chiederebbe mai una password in questo modo. Nel secondo attacco di SRLabs, la comprensione da parte dell'utente di come funzionano questi dispositivi gioca un ruolo minore.
Gli altoparlanti intelligenti possono essere trasformati in intercettazioni telefoniche
In questo caso, la strategia per Amazon Alexa e Google Home era leggermente diversa, ma l'obiettivo era identico: intercettare furtivamente gli utenti.
Per Alexa, i ricercatori hanno sviluppato un'altra app per l'oroscopo che può effettivamente leggere l'oroscopo. L'attaccante spera che a metà della spiegazione dell'influenza di Mercurio sulla nostra vita personale, l'utente si stanchi e emetta un comando "Stop". L'app sembra conforme e Alexa dice anche "Arrivederci". Come avrai intuito, tuttavia, l'app non si è effettivamente chiusa. Utilizzando la stessa stringa non stampabile (�.), I ricercatori mettono in silenzio l'altoparlante intelligente e l'app oroscopo dannoso è in attesa di sentire qualsiasi discorso riconoscibile. Tutto ciò che registra viene inviato all'attaccante.
Con Google Home, SRLabs ha messo insieme un'applicazione generatrice di numeri casuali che ha fatto quello che ci si aspettava da essa. Dopo aver generato il numero, l'app dice anche "Arrivederci" e l'utente viene indotto a pensare di aver chiuso. In realtà, la sessione rimane aperta e l'app attende di vedere se verrà detto qualcosa durante un periodo di tempo prestabilito. Se sente qualcosa, lo registra e lo invia all'attaccante. In modo preoccupante, i ricercatori hanno affermato che nelle giuste circostanze, il periodo di intercettazione può essere prolungato indefinitamente.
Google e Amazon non hanno fatto abbastanza per controllare le app degli altoparlanti intelligenti
L'intenzione di SRLabs non era solo quella di mostrare a tutti come potevano essere phishing e spiati in teoria. Volevano vedere quanto potrebbero essere pratici questi attacchi, motivo per cui l'oroscopo e le abilità di generatore di numeri casuali sono effettivamente apparse su Google e negli app store di Amazon.
Hanno effettuato un controllo prima di essere pubblicati, ma i ricercatori hanno capito che una volta che le app erano disponibili, Google e Amazon non fanno nulla per rivedere le nuove funzionalità e gli aggiornamenti. SRLabs inizialmente ha pubblicato app completamente benigne e successivamente ha aggiunto i componenti dannosi senza problemi.
Sia Amazon che Google hanno promesso che i loro processi di verifica saranno aggiornati, e possiamo solo sperare che questo sia effettivamente il caso perché è abbastanza chiaro che il software di terze parti non viene rivisto come dovrebbe, soprattutto considerando il fatto che i dispositivi che sta funzionando hanno microfoni che ci circondano in quella che dovrebbe essere la privacy delle nostre case.
