Obsah
- Hlasová phishingová hesla v reproduktorech Amazon Echo a Google Home
- Odposlouchávání uživatelů prostřednictvím reproduktorů Amazon Echo a Google Home
Věděli jsme, že Google a Amazon poslouchají jejich uživatele prostřednictvím hlasově aktivovaných reproduktorů Echo a Home. Skupina výzkumných pracovníků v oblasti bezpečnosti však nyní prokázala, jak mohou aplikace třetích stran snadno odpočívat uživatelům a citlivým informacím typu phishing, jako jsou hesla.
Vědci z německých společností SRLab našli dva scénáře hackerství - odposlouchávání a phishing - pro zařízení Amazon Alexa a Google Home / Nest. Vytvořili osm hlasových aplikací (Dovednosti pro Alexu a Akce pro Google Home), aby demonstrovali hacky, které promění tyto inteligentní reproduktory na inteligentní špiony. Škodlivé hlasové aplikace vytvořené společností SRLabs snadno procházely Amazonem a jednotlivými screeningovými procesy Google.
Byly použity různé přístupy k odposlouchávání uživatelů Amazonu Alexa a Google Home ak phishingu informací od nich. Vědci byli schopni změnit funkčnost dovedností a akcí, které vytvořili pro hackování poté, co aplikace Amazon a Google schválily aplikace. Po provedení uvedených změn nedošlo k žádnému druhému kolu přezkumů.
Hlasová phishingová hesla v reproduktorech Amazon Echo a Google Home
V níže uvedeném videu vidíte, jak uživatelé žádají Alexu o zahájení dovednosti zvané Můj šťastný horoskop. Jedná se o škodlivou dovednost Alexa vytvořenou a upravenou společností SRLabs tak, aby phishingovala hesla.
Aplikace nedává žádné uvítání a místo toho odpoví: „Tato dovednost není ve vaší zemi v současné době k dispozici.“ V tomto okamžiku by uživatel předpokládal, že aplikace přestala poslouchat, ale ve skutečnosti to tak není. Namísto toho byla dovednost hacknuta, aby řekla posloupnost znaků, kterou Alexa nemůže vyslovit, takže řečník mlčí, když je skutečně pozastaven a poslouchán.
Tato dovednost pak hraje phishingové rčení: „Pro vaše zařízení Alexa je k dispozici nová aktualizace. Řekněte prosím začátek následovaný vaším heslem. “Zatímco Amazon nikdy nepožaduje hesla tímto způsobem, uživatelé, kteří nevědí, mohou být chráněni.
Podobný přístup byl použit pro hesla phishingu v reproduktoru Google Home Mini.
Odposlouchávání uživatelů prostřednictvím reproduktorů Amazon Echo a Google Home
Pro odposlouchávání vědci použili stejnou aplikaci pro horoskop Amazonky jako horoskop. Aplikace přiměje uživatele, aby věřil, že byl zastaven, zatímco tiše poslouchá na pozadí.
Pro domovskou stránku Google byl hack ještě snazší a nebylo nutné zadávat spouštěcí slova, aby bylo možné odposlouchávat. Vědci poznamenávají, že v tomto případě je uživatel vložen do smyčky, protože „zařízení neustále odesílá hlasové vstupy na server hackera a vydává mezi nimi krátké ticho.“
SRLabs odstranil všechny aplikace, které jsou ukázány ve výše uvedených videích. Vědci také nahlásili svá zjištění Amazon a Google.
Podle Ars Technica, obě společnosti odpověděly, že mění své schvalovací procesy a přijímají další mechanismy, aby se těmto hackům v budoucnu vyhnuly.
Neexistují však žádné aktualizace od Amazonu ani Google, které by řekly, kdy budou tyto problémy vyřešeny. Neexistuje ani způsob, jak zjistit, zda dovednost nebo akce tyto mezery v minulosti zneužila.
