Hackare anställde Google Home och Amazon Alexa till Eavesdrop och spela in lösenord
Börja en diskussion om integritetskonsekvenserna av att äga en smart högtalare som Amazons Alexa eller Googles hem, och du kommer troligtvis se två väldefinierade grupper av människor nästan omedelbart. Den första kommer att hävda att smarta högtalare i grunden är internetanslutna wiretaps som kan användas för att spionera på oss och därför bör hållas så långt borta från våra hem som möjligt. Den andra gruppen kommer att berätta för skeptikerna att lägga bort sina plåthattar och njuta av bekvämligheten med högteknologiska Internet of Things (IoT) prylar.
Det faktum att Amazon och Google har sålt miljoner hemmassistenter visar att det finns fler smarta högtalarfans än motståndare. Amazon Alexa och Google Home-ägare kanske vill vara lite mer försiktiga med sin optimism, för för några dagar sedan publicerade experter från SRLabs en rapport som visar att i detta specifika fall kanske konspirationsteorierna inte var så långt- hämtas.
Ut ur lådan kommer smarta högtalare med en hel del användbara funktioner, särskilt om du ansluter dem till andra IoT-enheter. Hemassistenternas funktionalitet kan emellertid utökas med hjälp av tredjepartsappar (eller färdigheter), och som ni kanske redan gissat hittade SRLabs forskare inte ett, utan två sätt att missbruka dessa tredjepartsapplikationer.
Table of Contents
Skadliga smarta högtalarfärdigheter kan stjäla användarnas inloggningsuppgifter
Den första av de två attackerna börjar med att användaren ber Alexa eller Google Home att hämta sitt horoskop med hjälp av en färdighet utvecklad av forskarna. Istället för att läsa horoskopet returnerar appen emellertid ett felmeddelande som säger att tjänsten inte är tillgänglig i detta land. Efter ungefär en minut av tystnad meddelar den smarta högtalaren plötsligt att en säkerhetsuppdatering är tillgänglig och att installationen av den kräver användarens lösenord.
I verkligheten finns det ingen uppdatering, och hela åtgärden är utformad för att stjäla människors inloggningsuppgifter. Efter felmeddelandet matar den skadliga horoskopapplikationen den smarta högtalarens text-till-talmotor med en oförutsägbar sträng tecken - "�." (U + D801, punkt och ett mellanslag) som håller assistenten tyst under en förinställd period av tid. Detta görs för att lura människor att tro att applikationen har stängts, vilket är viktigt om de kommer att tro att en uppdatering verkligen är på väg. Från och med därefter beror framgången för phishing-attacken på huruvida användaren är omedveten om att en smart högtalare aldrig skulle begära ett lösenord på ett sådant sätt. I SRLabs andra attack spelar användarens förståelse för hur dessa enheter fungerar en mindre roll.
Smarta högtalare kan förvandlas till wiretaps
I det här fallet var strategin för Amazon Alexa och Google Home något annorlunda, men målet var identiskt - snyggt avlyssnande på användare.
För Alexa utvecklade forskarna en annan Horoscope-app som faktiskt kan läsa horoskopet. Angriparen hoppas att halvvägs genom förklaringen av Mercurys inflytande över våra personliga liv, blir användaren trött och ger ett "Stop" -kommando. Appen följer till synes och Alexa säger till och med "adjö". Som ni kanske gissat har appen dock inte stängts. Med samma unpronounceable sträng (�.) Tystar forskarna den smarta högtalaren, och den skadliga horoskopappen väntar på att höra något igenkännbart tal. Allt det registreras skickas till angriparen.
Med Google Home samlade SRLabs en applikation för slumptalgenerator som gjorde vad som förväntades av det. Efter att ha genererat numret säger appen också "adjö", och användaren luras att tro att den har stängts. I verkligheten förblir sessionen öppen, och appen väntar för att se om något kommer att sägas under en förinställd tidsperiod. Om det hör något, registrerar det det och skickar det till angriparen. Oroväckande sa forskarna att under rätt förhållanden kan avlyssningsperioden förlängas på obestämd tid.
Google och Amazon har inte gjort tillräckligt för att veta smarthögtalarappar
SRLabs avsikt var inte bara att visa alla hur de kan phishing och spioneras i teorin. De ville se hur praktiska dessa attacker kunde vara, varför horoskopet och färdigheterna i slumptalgeneratorer faktiskt dök upp i Google och Amazons appbutiker.
De gick igenom en check innan de publicerades, men forskarna insåg att när apparna var ute, Google och Amazon inte gör någonting för att granska de nya funktionerna och uppdateringarna. SRLabs publicerade ursprungligen appar som var fullständigt godartade och tillägger senare skadliga komponenter utan problem.
Både Amazon och Google har lovat att deras vettingprocesser kommer att uppdateras, och vi kan bara hoppas att detta verkligen är fallet eftersom det är ganska tydligt att program från tredje part inte granskas så bra som det borde vara, särskilt med tanke på att enheterna som fungerar har mikrofoner som finns runt oss i vad som borde vara privatliv i våra egna hem.
