Hackers hebben Google Home en Amazon Alexa gebruikt om wachtwoorden af te luisteren en op te nemen
Start een discussie over de privacy-implicaties van het bezitten van een slimme luidspreker zoals Amazon's Alexa of Google's Home, en je zult waarschijnlijk twee goed gedefinieerde groepen mensen bijna onmiddellijk zien ontstaan. De eerste zal beargumenteren dat slimme luidsprekers in feite via internet verbonden draadtaps zijn die kunnen worden gebruikt om ons te bespioneren en daarom zo ver mogelijk van onze huizen moeten worden bewaard. De andere groep zal de sceptici vertellen om hun aluminiumfoliehoeden op te bergen en te genieten van het gemak van hightech Internet of Things (IoT) -gadgets.
Het feit dat Amazon en Google miljoenen apparaten voor thuisassistenten hebben verkocht, toont aan dat er meer slimme luidsprekerfans zijn dan tegenstanders. Amazon Alexa en Google Home-eigenaren willen misschien een beetje voorzichtiger zijn met hun optimisme, omdat een paar dagen geleden experts van SRLabs een rapport hebben gepubliceerd waaruit blijkt dat in dit specifieke geval de complottheorieën misschien niet zo ver zijn- gezocht.
Slimme luidsprekers worden standaard geleverd met heel wat handige functies, vooral als u ze aansluit op andere IoT-apparaten. De functionaliteit van de thuisassistenten kan echter verder worden uitgebreid met behulp van apps van derden (of vaardigheden), en zoals u misschien al had geraden, vonden de onderzoekers van SRLabs niet één, maar twee manieren om deze toepassingen van derden te misbruiken.
Table of Contents
Schadelijke slimme sprekervaardigheden kunnen de inloggegevens van gebruikers stelen
De eerste van de twee aanvallen begint met de gebruiker die Alexa of Google Home vraagt om hun horoscoop op te halen met behulp van een door de onderzoekers ontwikkelde vaardigheid. In plaats van de horoscoop te lezen, geeft de app echter een foutmelding dat de service niet beschikbaar is in dit land. Na ongeveer een minuut stilte kondigt de slimme luidspreker plotseling aan dat er een beveiligingsupdate beschikbaar is en dat voor de installatie het wachtwoord van de gebruiker vereist is.
In werkelijkheid is er geen update en is de hele operatie ontworpen om de inloggegevens van mensen te stelen. Na het foutbericht voedt de kwaadwillende horoscooptoepassing de tekst-naar-spraak-engine van de slimme spreker met een onuitspreekbare reeks tekens - "�." (U + D801, punt en een spatie) die de assistent gedurende een vooraf ingestelde periode stil houdt van tijd. Dit wordt gedaan om mensen te laten denken dat de applicatie is gesloten, wat essentieel is als ze gaan geloven dat een update echt in behandeling is. Vanaf dat moment hangt het succes van de phishing-aanval af van het feit of de gebruiker zich niet bewust is van het feit dat een slimme spreker nooit op zo'n manier om een wachtwoord zou vragen. Bij de tweede aanval van SRLab speelt het begrip van de gebruiker van hoe deze apparaten werken een kleinere rol.
Slimme luidsprekers kunnen worden omgezet in draadtaps
In dit geval was de strategie voor Amazon Alexa en Google Home enigszins anders, maar het doel was identiek - heimelijk afluisteren op gebruikers.
Voor Alexa ontwikkelden de onderzoekers een andere horoscoop-app die de horoscoop daadwerkelijk kan lezen. De aanvaller hoopt dat de gebruiker halverwege de verklaring van de invloed van Mercurius op ons persoonlijke leven moe wordt en een "stop" -commando geeft. De app voldoet blijkbaar en Alexa zegt zelfs "Tot ziens". Zoals je misschien al geraden hebt, is de app echter niet echt gesloten. Met dezelfde onuitspreekbare string (�.) Zetten de onderzoekers de slimme luidspreker stil en wacht de kwaadaardige horoscoop-app op elke herkenbare spraak. Alles wat het registreert, wordt naar de aanvaller gestuurd.
Met Google Home hebben SRLabs een applicatie voor het genereren van willekeurige getallen samengesteld die deed wat ervan werd verwacht. Na het genereren van het nummer zegt de app ook "Tot ziens", en de gebruiker wordt misleid door te denken dat het is gesloten. In werkelijkheid blijft de sessie open en wacht de app om te zien of er gedurende een vooraf ingestelde periode iets wordt gezegd. Als het iets hoort, neemt het het op en stuurt het naar de aanvaller. Zorgwekkend, zeiden de onderzoekers dat onder de juiste omstandigheden de afluisterperiode voor onbepaalde tijd kan worden verlengd.
Google en Amazon hebben niet genoeg gedaan om slimme luidspreker-apps te controleren
De intentie van SRLab was niet om iedereen te laten zien hoe ze in theorie kunnen worden phished en bespioneerd. Ze wilden zien hoe praktisch deze aanvallen zouden kunnen zijn, en daarom verschenen de vaardigheden voor het genereren van horoscopen en willekeurige getallen eigenlijk in de app-winkels van Google en Amazon.
Ze hebben een controle uitgevoerd voordat ze werden gepubliceerd, maar de onderzoekers realiseerden zich dat zodra de apps beschikbaar waren, Google en Amazon niets doen om de nieuwe functies en updates te beoordelen. SRLabs publiceerden aanvankelijk apps die volledig goedaardig waren en voegden later de schadelijke componenten zonder problemen toe.
Zowel Amazon als Google hebben beloofd dat hun onderzoeksprocessen zullen worden bijgewerkt, en we kunnen alleen maar hopen dat dit inderdaad het geval is, omdat het vrij duidelijk is dat software van derden niet zo goed wordt beoordeeld als zou moeten, vooral gezien het feit dat de apparaten die het gebruikt hebben microfoons om ons heen in wat de privacy van onze eigen huizen zou moeten zijn.
