Piratai įdarbino „Google Home“ ir „Amazon Alexa“, kad išklausytų ir įrašytų slaptažodžius

Google Home Amazon Alexa Abused by Hackers

Pradėkite diskusiją apie intelektualaus pranešėjo, pavyzdžiui, „Amazon“ „Alexa“ ar „Google“ namų, savininko privatumą, ir greičiausiai beveik iš karto pamatysite dvi aiškiai apibrėžtas žmonių grupes. Pirmasis tvirtins, kad išmanieji garsiakalbiai iš esmės yra prie interneto prijungti laidų rinkiniai, kurie gali būti naudojami mums šnipinėti, todėl turėtų būti laikomi kuo toliau nuo mūsų namų. Kita grupė skeptikams lieps atiduoti skrybėlę iš skardos ir mėgautis aukštųjų technologijų daiktų interneto (IoT) dalykėlių patogumais.

Tai, kad „Amazon“ ir „Google“ pardavė milijonus namų asistentų prietaisų, rodo, kad išmaniųjų garsiakalbių gerbėjų yra daugiau nei priešininkų. Vis dėlto „Amazon Alexa“ ir „Google Home“ savininkai gali norėti būti šiek tiek atsargūs dėl savo optimizmo, nes prieš kelias dienas „SRLabs“ ekspertai paskelbė ataskaitą, kurioje parodyta, kad šiuo konkrečiu atveju sąmokslo teorijos gali būti ne tokios jau toli. atnešė.

Išmanieji garsiakalbiai turi daug naudingų funkcijų, ypač jei jas jungiate prie kitų daiktų internetinių prietaisų. Namų asistentų funkcijas galima dar labiau išplėsti pasitelkiant trečiųjų šalių programas (ar įgūdžius), tačiau, kaip jau spėjote atspėti, „SRLabs“ tyrėjai rado ne vieną, o du būdus, kaip piktnaudžiauti šiomis trečiųjų šalių programomis.

Kenkėjiški išmaniųjų kalbėtojų įgūdžiai gali pavogti vartotojo prisijungimo duomenis

Pirmasis iš dviejų išpuolių prasideda vartotojui paprašius „Alexa“ ar „Google Home“ atsiųsti savo horoskopą naudojantis tyrėjų išugdytais įgūdžiais. Užuot skaitę horoskopą, programa pateikia klaidos pranešimą, kuriame sakoma, kad šioje šalyje paslauga negalima. Maždaug po minutės tylos išmanusis pranešėjas staiga praneša, kad yra saugos naujinimas ir kad jį įdiegti reikia vartotojo slaptažodžio.

Realybėje atnaujinimo nėra, o visa operacija skirta pavogti žmonių prisijungimo duomenis. Po klaidos pranešimo kenkėjiška horoskopo programa išmaniojo kalbėtojo teksto į kalbą variklį tiekia neišaiškinama simbolių eilute - „�“ (U + D801, taškas ir tarpas), kuri padėjėją tyli nustatytą laikotarpį. laiko. Tai daroma siekiant priversti žmones galvoti, kad programa uždaryta, o tai yra būtina, jei jie tiki, kad atnaujinimas tikrai laukiamas. Nuo tada sukčiavimo apsimetant sėkmė priklauso nuo to, ar vartotojas pamiršta, ar išmanusis kalbėtojas niekada neprašys slaptažodžio tokiu būdu. Antrajame „SRLabs“ išpuolyje mažesnę reikšmę turi vartotojo supratimas, kaip šie įrenginiai veikia.

Išmaniuosius garsiakalbius galima paversti laidiniais

Šiuo atveju „Amazon Alexa“ ir „Google Home“ strategija buvo šiek tiek kitokia, tačiau tikslas buvo identiškas - slaptas slaptas vartotojų pasiklausymas.

„Alexa“ tyrėjai sukūrė dar vieną programą „Horoskopas“, kuri iš tikrųjų gali perskaityti horoskopą. Užpuolikas tikisi, kad įpusėjus gyvsidabrio įtakos mūsų asmeniniam gyvenimui paaiškinimui, vartotojas pavargsta ir išleidžia „Stop“ komandą. Panašu, kad programa atitinka reikalavimus, o Alexa netgi sako „Goodbye“. Kaip jau spėjote atspėti, programa iš tikrųjų neuždaryta. Naudodamiesi ta pačia nenusakoma eilute (�.), Tyrėjai nutildo išmanųjį garsiakalbį, o kenkėjiška horoskopo programa laukia išgirsti bet kurią atpažįstamą kalbą. Viskas, ką jis užfiksuoja, siunčiamas užpuolikui.

Naudodamiesi „Google Home“, „SRLabs“ sukūrė atsitiktinių skaičių generatoriaus programą, kuri padarė tai, ko iš jos tikėtasi. Sugeneravus numerį, programa taip pat sako „atsisveikinti“, o vartotojas yra įprantamas galvoti, kad jis užsidarė. Faktiškai sesija lieka atvira, o programa laukia, kol iš anksto nustatytu laikotarpiu bus pasakyta. Jei jis ką nors girdi, tai užrašo ir išsiunčia užpuolikui. Nerimą kelia tai, kad tyrėjai teigė, kad esant tinkamoms aplinkybėms slapto pasiklausymo laikotarpis gali būti pratęstas neribotam laikui.

„Google“ ir „Amazon“ nepakankamai nuveikė išmaniųjų garsiakalbių programų patikrinimas

„SRLabs“ tikslas nebuvo visiems tiesiog parodyti, kaip teoriškai jie gali būti sukčiaujami ir spiegti. Jie norėjo sužinoti, kokie praktiški gali būti šie išpuoliai, todėl horoskopo ir atsitiktinių skaičių generatoriaus įgūdžiai iš tikrųjų pasirodė „Google“ ir „Amazon“ programų parduotuvėse.

Jie buvo patikrinti prieš paskelbdami, tačiau tyrėjai suprato, kad kai tik programos buvo ten, „Google“ ir „Amazon“ nieko nedaro, kad peržiūrėtų naujas funkcijas ir atnaujinimus. „SRLabs“ iš pradžių paskelbė visiškai geranoriškas programas, o vėliau be jokių problemų pridėjo kenksmingus komponentus.

Tiek „Amazon“, tiek „Google“ pažadėjo, kad jų tikrinimo procesai bus atnaujinti, ir galime tik tikėtis, kad taip yra iš tikrųjų, nes visiškai aišku, kad trečiųjų šalių programinė įranga nėra peržiūrima taip gerai, kaip turėtų būti, ypač atsižvelgiant į tai, kad jo valdomuose įrenginiuose yra mikrofonai, esantys aplink mus, kokie turėtų būti mūsų pačių namų privatumai.

October 22, 2019
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.