Obsah

• Heslá na neoprávnené získavanie údajov (phishing) v reproduktoroch Amazon Echo a Google Home
• Odposluch používateľov prostredníctvom reproduktorov Amazon Echo a Google Home

Vedeli sme, že Google a Amazon počúvajú svojich používateľov prostredníctvom inteligentných reproduktorov Echo a Home aktivovaných hlasom. Skupina výskumných pracovníkov v oblasti bezpečnosti však teraz preukázala, ako môžu aplikácie tretích strán ľahko odpočúvať používateľov a informácie citlivé na phishing, ako sú heslá.

Vedci z nemeckých spoločností SRLab našli dva hackerské scenáre - odpočúvanie a phishing - pre zariadenia Amazon Alexa a Google Home / Nest. Vytvorili osem hlasových aplikácií (Schopnosti pre Alexa a Akcie pre Google Home), aby demonštrovali hacky, ktoré premieňajú tieto inteligentné reproduktory na inteligentných špiónov. Škodlivé hlasové aplikácie vytvorené spoločnosťou SRLabs ľahko prešli Amazon a jednotlivými procesmi skríningu spoločnosti Google.

Rôzne prístupy sa používali na odpočúvanie používateľov Amazon Alexa a Google Home a na phishing informácií od nich. Vedci dokázali zmeniť funkčnosť schopností a akcií, ktoré vytvorili pre hackerstvo po schválení aplikácií spoločnosťou Amazon a Google. Po vykonaní uvedených zmien sa nevykonalo druhé kolo preskúmania.

Heslá na neoprávnené získavanie údajov (phishing) v reproduktoroch Amazon Echo a Google Home

Vo videu nižšie vidíte, ako používatelia požiadajú Alexu o začatie zručnosti s názvom Môj šťastný horoskop. Toto je škodlivé zručnosti Alexa vytvorené a upravené spoločnosťou SRLabs tak, aby neoprávnene získavali heslá.

Aplikácia sa nedá privítať a namiesto toho odpovie: „Táto zručnosť momentálne nie je vo vašej krajine k dispozícii.“ V tomto okamihu by používateľ predpokladal, že aplikácia prestala počúvať, ale v skutočnosti to tak nebolo. Namiesto toho bola táto zručnosť hacknutá, aby hovorila o charakterovej sekvencii, ktorú Alexa nemôže vysloviť, a preto rečník zostáva tichý, keď je skutočne pozastavený a počúva.

Zručnosť potom zahrá phishingové príslovie: „Pre vaše zariadenie Alexa je k dispozícii nová aktualizácia. Povedzte, prosím, za čím nasleduje vaše heslo. “Aj keď spoločnosť Amazon nikdy nežiada heslá týmto spôsobom, môžu byť používatelia, ktorí nevedomia, chránení.

Podobný prístup sa použil pri heslách na phishing hlasu v reproduktore Google Home Mini.

Odposluch používateľov prostredníctvom reproduktorov Amazon Echo a Google Home

Na odpočúvanie vedci použili tú istú horoskopovú aplikáciu pre inteligentný reproduktor Amazonky. Aplikácia podnecuje používateľa, aby veril, že bol zastavený, zatiaľ čo ticho počúva na pozadí.

V prípade služby Google Home bol hack ešte ľahší a nebolo potrebné zadávať spúšťacie slová, aby bolo možné odposluch odposlouchávať. Vedci poznamenávajú, že v tomto prípade je používateľ zapojený do slučky, pretože „zariadenie neustále odosiela hlasové vstupy na server hackera a medzi nimi vydáva krátke ticho.“

SRLabs zrušil všetky aplikácie, ktoré sú uvedené vo vyššie uvedených videách. Vedci tiež oznámili svoje zistenia Amazon a Google.

Podľa Ars Technica, obe spoločnosti odpovedali tvrdením, že menia svoje schvaľovacie procesy a prijímajú ďalšie mechanizmy na zabránenie takýmto prienikom v budúcnosti.

Od Amazonu ani od spoločnosti Google však nie je k dispozícii žiadna aktualizácia, v ktorej by bolo uvedené, kedy budú tieto problémy odstránené. Neexistuje ani spôsob, ako zistiť, či zručnosti alebo konanie tieto medzery v minulosti zneužili.