Hackere ansatte Google Home og Amazon Alexa for å Eavesdrop og registrere passord
Begynn en diskusjon om personvernkonsekvensene av å eie en smart høyttaler som Amazons Alexa eller Googles hjem, og du vil sannsynligvis se to veldefinerte grupper av mennesker som nesten dannes. Den første vil hevde at smarte høyttalere i utgangspunktet er internett-tilkoblede wiretaps som kan brukes til å spionere på oss og derfor bør holdes så langt borte fra hjemmene våre som mulig. Den andre gruppen vil fortelle skeptikerne om å legge bort tinfoil hattene og glede seg over bekvemmelighetene til high-tech Internet of Things (IoT) -dingser.
At Amazon og Google har solgt millioner av hjemmeassistent-enheter viser at det er flere smarte høyttaler fans enn motstandere. Amazon Alexa og Google Home-eiere vil kanskje være litt mer forsiktige med optimismen sin, for for et par dager siden publiserte eksperter fra SRLabs en rapport som viser at i dette spesielle tilfellet kan konspirasjonsteoriene kanskje ikke være så langt- hentet.
Ut av esken kommer smarte høyttalere med ganske mange nyttige funksjoner, spesielt hvis du kobler dem til andre IoT-enheter. Hjemmeassistentenes funksjonalitet kan imidlertid utvides ytterligere ved hjelp av tredjepartsapper (eller ferdigheter), og som du kanskje allerede har gjettet, fant forskere fra SRLabs ikke en, men to måter å misbruke disse tredjepartsapplikasjonene.
Table of Contents
Ondsinnede ferdigheter i smart høyttaler kan stjele brukernes påloggingsinformasjon
Det første av de to angrepene starter med at brukeren ber Alexa eller Google Home om å hente horoskopet sitt ved å bruke en ferdighet utviklet av forskerne. I stedet for å lese horoskopet, returnerer appen imidlertid en feilmelding som sier at tjenesten ikke er tilgjengelig i dette landet. Etter omtrent et minutts stillhet kunngjør den smarte høyttaleren plutselig at en sikkerhetsoppdatering er tilgjengelig, og at å installere den krever brukerens passord.
I virkeligheten er det ingen oppdateringer, og hele operasjonen er designet for å stjele folks innloggingsinformasjon. Etter feilmeldingen mater den ondsinnede horoskop-applikasjonen den smarte høyttalerens tekst-til-tale-motor med en ubeskrivelig streng med tegn - "�." (U + D801, punktum og et mellomrom) som holder assistenten stille i en forhåndsinnstilt periode av tiden. Dette gjøres for å lure folk til å tro at applikasjonen har lukket, noe som er viktig hvis de skal tro at en oppdatering virkelig er i påvente. Fra da av er suksessen til phishing-angrepet avhengig av om brukeren ikke glemmer det faktum at en smart høyttaler aldri vil be om et passord på en slik måte. I SRLabs andre angrep spiller brukerens forståelse av hvordan disse enhetene fungerer.
Smarte høyttalere kan gjøres om til wiretaps
I dette tilfellet var strategien for Amazon Alexa og Google Home litt annerledes, men målet var identisk - skjult avlytting av brukere.
For Alexa utviklet forskerne en annen Horoscope-app som faktisk kan lese horoskopet. Angriperen håper at halvveis i forklaringen om Mercurys innflytelse over våre personlige liv, blir brukeren lei og gir ut en "Stop" -kommando. Appen tilsynelatende samsvarer, og Alexa sier til og med "Farvel". Som du kanskje har gjettet, har appen imidlertid ikke lukket seg. Ved å bruke den samme ubeskrivelige strengen (�.), Tauser forskerne den smarte høyttaleren, og den ondsinnede horoskopappen venter på å høre enhver gjenkjennelig tale. Alt den registrerer blir sendt til angriperen.
Med Google Home satte SRLabs et applikasjonsgenerator for tilfeldig tall som gjorde det som var forventet av det. Etter å ha generert nummeret, sier appen også "Goodbye", og brukeren lures til å tro at den har stengt. I virkeligheten forblir økten åpen, og appen venter på å se om noe vil bli sagt i løpet av en forhåndsinnstilt periode. Hvis den hører noe, registrerer den det og sender det til angriperen. Bekymringsfullt sa forskerne at under riktig forhold kan avlyttingsperioden forlenges på ubestemt tid.
Google og Amazon har ikke gjort nok for å veterinere apper for smarte høyttalere
SRLabs intensjon var ikke bare å vise alle hvordan de kan phishing og spioneres i teorien. De ønsket å se hvor praktiske disse angrepene kunne være, og det er grunnen til at horoskop- og tilfeldighetsgeneratorferdighetene faktisk dukket opp i Google og Amazons appbutikker.
De gikk gjennom en sjekk før de ble publisert, men forskerne skjønte at når appene først var der ute, gjør Google og Amazon ingenting for å gjennomgå de nye funksjonene og oppdateringene. SRLabs publiserte først apper som var helt godartede og senere la de ondsinnede komponentene uten problemer.
Både Amazon og Google har lovet at godkjenningsprosessene deres vil bli oppdatert, og vi kan bare håpe at dette faktisk er tilfelle fordi det er ganske tydelig at tredjepartsprogramvare ikke blir gjennomgått så bra som det skal være, spesielt med tanke på det faktum at enhetene den bruker har mikrofoner som er rundt oss i det som skal være personvernet til våre egne hjem.
