Зміст
- Паролі голосового фішингу на динаміках Amazon Echo та Google Home
- Підслуховування користувачів за допомогою динаміків Amazon Echo та Google Home
Ми знали, що Google та Amazon слухають своїх користувачів через їхні голосові смарт-динаміки Echo та Home. Однак група дослідників з безпеки тепер продемонструвала, як сторонні програми можуть легко підслуховувати користувачів та інформацію, чутливу до голосових фішів, як паролі.
Дослідники німецьких SRLabs знайшли два сценарії злому - підслуховування та фішинг - як для Amazon Alexa, так і для пристроїв Google Home / Nest. Вони створили вісім голосових програм (Навички для Alexa та Дії для Google Home), щоб продемонструвати хаки, які перетворюють цих розумних динаміків у розумних шпигунів. Шкідливі голосові програми, створені SRLabs, легко передаються через Amazon та окремі екранізації Google.
Для підслуховування користувачів Amazon Alexa та Google Home та для фішингу інформації з них використовували різні підходи. Дослідники змогли змінити функціональність навичок та дій, створених для злому, після того як Amazon та Google затвердили додатки. Не було проведено другого раунду оглядів після внесення зазначених змін.
Паролі голосового фішингу на динаміках Amazon Echo та Google Home
На відео нижче ви бачите, як користувачі просять Alexa почати майстерність під назвою Мій щасливий гороскоп. Це зловмисна майстерність Alexa, створена та модифікована SRLabs для фіш-пошуку паролів.
Додаток не видає привітання, а натомість відповідає: "Цей навик наразі недоступний у вашій країні". На даний момент користувач припустив, що додаток перестав слухати, але він справді цього не зробив. Натомість навик був зламаний, щоб сказати послідовність символів, яку Алекса не може вимовити, отже, динамік мовчить, коли він насправді призупиняється і слухає.
Потім цей навик відтворює фішинг, кажучи: "Нове оновлення доступне для вашого пристрою Alexa. Скажіть, будь ласка, почніть з наступним вашим паролем ». Хоча Amazon ніколи не запитує паролі таким чином, користувачів, які не знають про це, можна піклуватися.
Аналогічний підхід застосовувався для голосового фішингу паролів на динаміку Google Home Mini.
Підслуховування користувачів за допомогою динаміків Amazon Echo та Google Home
Для підслуховування дослідники використовували той самий додаток для гороскопу для розумного динаміка Amazon. Додаток підманлює користувача вважати, що його зупинили, поки він мовчки слухає у фоновому режимі.
Для Google Home хак був ще простішим, і не потрібно було вказувати тригерні слова, щоб підслухати. Дослідники відзначають, що в цьому випадку користувач ставиться в цикл, оскільки "пристрій постійно надсилає голосові входи на сервер хакера, виводячи між собою короткі тиші".
SRLabs зняв усі програми, які демонструються у наведених вище відео. Дослідники також повідомили про свої результати Amazon та Google.
Згідно Ars Technica, обидві компанії відповіли, сказавши, що вони змінюють свої процеси затвердження та застосовують додаткові механізми, щоб уникнути таких злому в майбутньому.
Однак немає оновлень, як від Amazon, так і від Google, щоб сказати, коли ці проблеми будуть виправлені. Неможливо також дізнатися, чи вміння чи дія неправильно використовували ці лазівки в минулому.
