Hakerzy zatrudniali Google Home i Amazon Alexa do podsłuchiwania i nagrywania haseł
Rozpocznij dyskusję na temat konsekwencji posiadania inteligentnego głośnika, takiego jak Alexa Alexa czy Dom Google, dla prywatności, a niemal natychmiast zobaczysz dwie dobrze zdefiniowane grupy ludzi. Pierwszy argumentuje, że inteligentne głośniki to w zasadzie podsłuchy internetowe, których można używać do szpiegowania nas i dlatego należy je trzymać jak najdalej od naszych domów. Druga grupa powie sceptykom, aby odłożyli czapki z cyny i cieszą się wygodą zaawansowanych technologicznie gadżetów Internetu Rzeczy (IoT) .
Fakt, że Amazon i Google sprzedały miliony domowych urządzeń pomocniczych, pokazuje, że jest więcej fanów inteligentnych głośników niż przeciwników. Właściciele Amazon Alexa i Google Home mogą być jednak bardziej ostrożni ze swoim optymizmem, ponieważ kilka dni temu eksperci z SRLabs opublikowali raport, który pokazuje, że w tym konkretnym przypadku teorie spiskowe mogą nie być tak dalekie - ściągnięty.
Po wyjęciu z pudełka inteligentne głośniki są wyposażone w kilka przydatnych funkcji, zwłaszcza jeśli podłączysz je do innych urządzeń IoT. Funkcjonalność asystentów domowych można jednak rozszerzyć za pomocą aplikacji (lub umiejętności) innych firm, a jak już zapewne się domyślacie, badacze SRLabs znaleźli nie jeden, ale dwa sposoby nadużywania tych aplikacji innych firm.
Table of Contents
Złośliwe umiejętności inteligentnego mówcy mogą wykraść dane logowania użytkowników
Pierwszy z dwóch ataków rozpoczyna się od zapytania użytkownika przez Alexę lub Google Home o pobranie horoskopu za pomocą umiejętności opracowanej przez naukowców. Jednak zamiast czytać horoskop, aplikacja zwraca komunikat o błędzie informujący, że usługa nie jest dostępna w tym kraju. Po około minucie ciszy inteligentny głośnik nagle ogłasza, że aktualizacja zabezpieczeń jest dostępna i że jej zainstalowanie wymaga hasła użytkownika.
W rzeczywistości nie ma aktualizacji, a cała operacja ma na celu kradzież danych logowania użytkowników. Po komunikacie o błędzie złośliwa aplikacja horoskopu przekazuje silnikowi tekstowemu na mowę inteligentnego głośnika nieodwracalny ciąg znaków - „�.” (U + D801, kropka i spacja), który utrzymuje asystenta w ciszy przez określony czas czasu. Odbywa się to w celu nakłonienia ludzi do myślenia, że aplikacja została zamknięta, co jest niezbędne, jeśli mają oni uwierzyć, że aktualizacja jest naprawdę w toku. Od tego momentu powodzenie ataku phishingowego zależy od tego, czy użytkownik jest nieświadomy faktu, że inteligentny mówca nigdy nie prosi o hasło w taki sposób. W drugim ataku SRLabs zrozumienie przez użytkownika, w jaki sposób działają te urządzenia, odgrywa mniejszą rolę.
Inteligentne głośniki można przekształcić w podsłuchy
W tym przypadku strategia dla Amazon Alexa i Google Home była nieco inna, ale cel był identyczny - podstępne podsłuchiwanie użytkowników.
Dla Alexy naukowcy opracowali kolejną aplikację Horoskop, która może w rzeczywistości odczytać horoskop. Atakujący ma nadzieję, że w połowie wyjaśnienia wpływu Merkurego na nasze życie osobiste użytkownik zmęczy się i wyda polecenie „Stop”. Pozornie aplikacja jest zgodna, a Alexa nawet mówi „Do widzenia”. Jednak, jak się zapewne domyślacie, aplikacja się nie zamknęła. Używając tego samego nieprzekraczalnego ciągu (�.), Naukowcy wyciszają inteligentny głośnik, a złośliwa aplikacja horoskop czeka na usłyszenie każdej rozpoznawalnej mowy. Wszystko, co rejestruje, jest wysyłane do atakującego.
Dzięki Google Home SRLabs stworzyli aplikację do generowania liczb losowych, która spełniała oczekiwania. Po wygenerowaniu numeru aplikacja mówi również „Do widzenia”, a użytkownik zostaje nakłoniony do myślenia, że został zamknięty. W rzeczywistości sesja pozostaje otwarta, a aplikacja czeka na sprawdzenie, czy coś zostanie powiedziane w określonym czasie. Jeśli coś usłyszy, zapisuje to i wysyła do atakującego. Niepokojący jest fakt, że naukowcy stwierdzili, że w odpowiednich okolicznościach okres podsłuchu może zostać przedłużony na czas nieokreślony.
Google i Amazon nie zrobiły wystarczająco dużo, aby zweryfikować inteligentne aplikacje głośnikowe
Zamiarem SRLabs nie było po prostu pokazanie wszystkim, w jaki sposób można ich wyłudzić i szpiegować w teorii. Chcieli zobaczyć, jak praktyczne mogą być te ataki, dlatego umiejętności horoskopu i generatora liczb losowych faktycznie pojawiły się w sklepach z aplikacjami Google i Amazon.
Przed opublikowaniem przeszli kontrolę, ale naukowcy zdali sobie sprawę, że gdy aplikacje już tam są, Google i Amazon nie robią nic, aby sprawdzić nowe funkcje i aktualizacje. SRLabs początkowo publikowało aplikacje, które były całkowicie łagodne, a później bez problemu dodawały złośliwe składniki.
Zarówno Amazon, jak i Google obiecały, że ich procesy weryfikacyjne zostaną zaktualizowane, i możemy jedynie mieć nadzieję, że tak się dzieje, ponieważ jest całkiem jasne, że oprogramowanie innych firm nie jest sprawdzane tak, jak powinno, szczególnie biorąc pod uwagę fakt, że urządzenia, które obsługuje, mają mikrofony, które są wokół nas w prywatności naszych domów.
