Хакеры использовали Google Home и Amazon Alexa для подслушивания и записи паролей
Начните обсуждение последствий для конфиденциальности обладания умного оратора, такого как Amazon's Alexa или Google's Home, и вы, скорее всего, увидите, что две четко определенные группы людей образуются почти сразу. Первый будет утверждать, что умные колонки - это, в основном, подключенные к интернету прослушивания телефонных разговоров, которые можно использовать для слежки за нами, и поэтому их следует держать как можно дальше от наших домов. Другая группа скажет скептикам убрать свои шляпы из фольги и насладиться удобством высокотехнологичных устройств Интернета вещей (IoT) .
Тот факт, что Amazon и Google продали миллионы устройств для домашних помощников, показывает, что поклонников умных динамиков больше, чем противников. Владельцы Amazon Alexa и Google Home, возможно, захотят быть более осторожными со своим оптимизмом, однако, поскольку пару дней назад эксперты из SRLabs опубликовали отчет, который показывает, что в данном конкретном случае теории заговора могут быть не столь неправдоподобным.
Из коробки «умные» динамики имеют довольно много полезных функций, особенно если вы подключаете их к другим устройствам IoT. Однако функциональность домашних помощников может быть расширена с помощью сторонних приложений (или навыков), и, как вы уже догадались, исследователи SRLabs нашли не один, а два способа злоупотребления этими сторонними приложениями.
Table of Contents
Злонамеренные умные навыки говорящего могут украсть учетные данные пользователей
Первая из этих двух атак начинается с того, что пользователь просит Алексу или Google Home загрузить их гороскоп, используя навык, разработанный исследователями. Однако вместо чтения гороскопа приложение возвращает сообщение об ошибке, в котором говорится, что служба недоступна в этой стране. Примерно через минуту молчания интеллектуальный динамик неожиданно сообщает, что доступно обновление для системы безопасности и что для его установки требуется пароль пользователя.
На самом деле обновлений нет, и вся операция предназначена для кражи учетных данных людей. После сообщения об ошибке злонамеренное приложение гороскопа снабжает механизм преобразования текста в речь интеллектуального говорящего непроизносимой строкой символов - «�.» (U + D801, точка и пробел), что позволяет помощнику молчать в течение заданного периода времени. времени. Это сделано для того, чтобы заставить людей думать, что приложение закрыто, что очень важно, если они поверит, что обновление действительно ожидает рассмотрения. С тех пор успех фишинг-атаки зависит от того, замечает ли пользователь тот факт, что умный оратор никогда не будет запрашивать пароль таким образом. Во второй атаке SRLabs понимание пользователем того, как работают эти устройства, играет меньшую роль.
Умные динамики можно превратить в прослушку
В этом случае стратегия для Amazon Alexa и Google Home несколько отличалась, но цель была идентичной - скрытно подслушивая пользователей.
Для Алекса исследователи разработали еще одно приложение Гороскоп, которое действительно может читать гороскоп. Злоумышленник надеется, что на полпути к объяснению влияния Меркурия на нашу личную жизнь пользователь устает и выдает команду «Стоп». Приложение, по-видимому, соответствует, и Алекса даже говорит "До свидания". Однако, как вы уже догадались, приложение на самом деле не закрылось. Используя ту же непроизносимую строку (�.), Исследователи заглушают умный динамик, а вредоносное приложение гороскоп ждет услышать любую узнаваемую речь. Все, что он записывает, отправляется злоумышленнику.
С Google Home SRLabs создала приложение для генерации случайных чисел, которое сделало то, что от него ожидали. После генерации числа приложение также говорит «До свидания», и пользователь обманывается, думая, что оно закрыто. На самом деле сеанс остается открытым, и приложение ожидает, будет ли что-то сказано в течение заданного периода времени. Если он что-то слышит, он записывает это и отправляет злоумышленнику. Исследователи с тревогой отметили, что при правильных обстоятельствах период подслушивания может быть продлен до бесконечности.
Google и Amazon не сделали достаточно, чтобы проверить приложения для умных динамиков
Целью SRLabs было не просто показать всем, как они могут быть фишинговыми и шпионить в теории. Они хотели увидеть, насколько практичными могут быть эти атаки, поэтому навыки работы с гороскопами и генераторами случайных чисел действительно появились в магазинах приложений Google и Amazon.
Они действительно прошли проверку перед публикацией, но исследователи поняли, что, как только приложения появятся, Google и Amazon ничего не делают для проверки новых функций и обновлений. Первоначально SRLabs опубликовала приложения, которые были абсолютно безопасными, а затем добавила вредоносные компоненты без каких-либо проблем.
Как Amazon, так и Google пообещали, что их процессы проверки будут обновлены, и мы можем только надеяться, что это действительно так, потому что совершенно очевидно, что стороннее программное обеспечение не проверено, а должно быть, особенно с учетом того факта, что устройства, на которых он работает, имеют микрофоны, которые находятся вокруг нас, что должно быть конфиденциально в наших собственных домах.
