Os hackers empregaram a Página inicial do Google e o Amazon Alexa para escutar e gravar senhas

Google Home Amazon Alexa Abused by Hackers

Inicie uma discussão sobre as implicações de privacidade de possuir um alto-falante inteligente como o Alexa da Amazon ou o Home do Google, e é provável que você veja dois grupos de pessoas bem definidos se formar quase imediatamente. O primeiro argumentará que os alto-falantes inteligentes são basicamente escutas telefônicas conectadas à Internet, que podem ser usadas para nos espionar e, portanto, devem ser mantidas o mais longe possível de nossas casas. O outro grupo dirá aos céticos que guardem seus chapéus de papel alumínio e desfrutem da conveniência dos dispositivos de alta tecnologia da Internet das Coisas (IoT) .

O fato de a Amazon e o Google terem vendido milhões de dispositivos de assistência em casa mostra que há mais fãs de alto-falantes inteligentes do que adversários. Os proprietários do Amazon Alexa e do Google Home podem querer ter um pouco mais de cuidado com seu otimismo, no entanto, porque alguns dias atrás, especialistas da SRLabs publicaram um relatório que mostra que, nesse caso específico, as teorias da conspiração podem não ser tão distantes. buscado.

Pronto para uso, os alto-falantes inteligentes vêm com alguns recursos úteis, especialmente se você os conectar a outros dispositivos IoT. A funcionalidade dos assistentes domiciliares pode ser estendida ainda mais com a ajuda de aplicativos (ou habilidades) de terceiros, e, como você já deve ter adivinhado, os pesquisadores do SRLabs encontraram não uma, mas duas maneiras de abusar desses aplicativos de terceiros.

As habilidades maliciosas de alto-falante inteligente podem roubar credenciais de login dos usuários

O primeiro dos dois ataques começa com o usuário pedindo ao Alexa ou ao Google Home para buscar seu horóscopo usando uma habilidade desenvolvida pelos pesquisadores. Em vez de ler o horóscopo, no entanto, o aplicativo retorna uma mensagem de erro informando que o serviço não está disponível neste país. Após cerca de um minuto de silêncio, o alto-falante inteligente anuncia subitamente que uma atualização de segurança está disponível e que a instalação exige a senha do usuário.

Na realidade, não há atualização e toda a operação foi projetada para roubar credenciais de login das pessoas. Após a mensagem de erro, o aplicativo horóscopo mal-intencionado alimenta o mecanismo de conversão de texto em fala do alto-falante inteligente com uma sequência impronunciável de caracteres - "�." (U + D801, ponto e espaço) que mantém o assistente em silêncio por um período predefinido de tempo. Isso é feito para induzir as pessoas a pensarem que o aplicativo foi fechado, o que é essencial para acreditar que uma atualização realmente está pendente. A partir de então, o sucesso do ataque de phishing depende se o usuário está ou não alheio ao fato de que um alto-falante inteligente nunca pediria uma senha dessa maneira. No segundo ataque do SRLabs, o entendimento do usuário de como esses dispositivos funcionam desempenha um papel menor.

Alto-falantes inteligentes podem ser transformados em grampos

Nesse caso, a estratégia para o Amazon Alexa e o Google Home era um pouco diferente, mas o objetivo era idêntico - espionar furtivamente os usuários.

Para Alexa, os pesquisadores desenvolveram outro aplicativo Horóscopo que pode realmente ler o horóscopo. O invasor espera que, no meio da explicação da influência de Mercúrio sobre nossas vidas pessoais, o usuário se canse e emita um comando "Pare". O aplicativo parece estar em conformidade e o Alexa até diz "adeus". Como você deve ter adivinhado, no entanto, o aplicativo ainda não foi fechado. Usando a mesma sequência impronunciável (�.), Os pesquisadores silenciam o alto-falante inteligente e o aplicativo horóscopo malicioso está esperando para ouvir qualquer discurso reconhecível. Tudo o que registra é enviado ao atacante.

Com o Google Home, o SRLabs montou um aplicativo gerador de números aleatórios que fazia o que era esperado dele. Depois de gerar o número, o aplicativo também diz "Adeus", e o usuário é levado a pensar que foi fechado. Na realidade, a sessão permanece aberta e o aplicativo aguarda para ver se algo será dito durante um período predefinido. Se ouvir algo, ele grava e envia para o atacante. Preocupantemente, os pesquisadores disseram que, nas circunstâncias certas, o período de escuta pode ser estendido indefinidamente.

Google e Amazon não fizeram o suficiente para avaliar aplicativos de alto-falantes inteligentes

A intenção da SRLabs não era apenas mostrar a todos como eles podem ser enganados e espionados na teoria. Eles queriam ver quão práticos esses ataques poderiam ser, e é por isso que as habilidades de horóscopo e gerador de números aleatórios realmente apareceram nas lojas de aplicativos do Google e da Amazon.

Eles passaram por uma verificação antes de serem publicados, mas os pesquisadores perceberam que, uma vez que os aplicativos estavam disponíveis, o Google e a Amazon não fazem nada para revisar os novos recursos e atualizações. O SRLabs publicou aplicativos inicialmente totalmente benignos e, posteriormente, adicionou os componentes maliciosos sem problemas.

Tanto a Amazon quanto o Google prometeram que seus processos de verificação serão atualizados, e só podemos esperar que esse seja o caso, porque é bastante claro que o software de terceiros não é revisado tão bem quanto deveria, especialmente considerando o fato de que os dispositivos que ele está operando têm microfones à nossa volta, no que deveria ser a privacidade de nossas próprias casas.

October 22, 2019

Deixe uma Resposta