Съдържание
- Гласови фишинг пароли на Amazon Echo и Google Home високоговорители
- Подслушване на потребителите чрез високоговорителите на Amazon Echo и Google Home
Знаехме, че Google и Amazon слушат своите потребители чрез техните гласово активирани Echo и Home смарт говорители. Въпреки това, група изследователи по сигурността вече демонстрираха как приложенията на трети страни могат лесно да подслушват потребителите и чувствителната към гласовите фиши информация като паролите.
Изследователите от германските SRLabs откриха два сценария за хакване - подслушване и фишинг - както за Amazon Alexa, така и за устройства за дома / Nest на Google. Те създадоха осем гласови приложения (Skills for Alexa и Actions for Google Home), за да демонстрират хаковете, които превръщат тези умни говорители в умни шпиони. Зловредните гласови приложения, създадени от SRLabs, лесно преминават през отделните скринингови процеси на Amazon и Google.
Използвани бяха различни подходи за подслушване на потребителите на Amazon Alexa и Google Home и за фиширане на информация от тях. Изследователите успяха да променят функционалността на уменията и действията, които създадоха за хакване, след като Amazon и Google одобриха приложенията. Нямаше втори кръг от прегледи, подканени след направените промени.
Гласови фишинг пароли на Amazon Echo и Google Home високоговорители
Във видеото по-долу виждате как потребителите молят Alexa да започне умение, наречено хороскоп My Lucky. Това е злонамерено умение за Alexa, създадено и модифицирано от SRLabs за фиширане на пароли.
Приложението не дава поздрав и вместо това отговаря: „Това умение понастоящем не е достъпно във вашата страна.“ В този момент потребителят би предположил, че приложението е спряло да слуша, но всъщност не е. Вместо това е хакнато умението да казва последователност от символи, която Алекса не може да произнесе, следователно говорителят остава мълчалив, когато всъщност е на пауза и слуша.
След това умението играе фишинг, който казва: „Налице е нова актуализация за вашето устройство Alexa. Моля, кажете да започнете, следвана от вашата парола. “Докато Amazon никога не иска пароли по този начин, потребителите, които не знаят, могат да бъдат хванати.
Подобен подход беше използван за пароли за гласово фиширане в високоговорител на Google Home Mini.
Подслушване на потребителите чрез високоговорителите на Amazon Echo и Google Home
За подслушване изследователите използваха същото приложение за хороскоп за интелигентния говорител на Amazon. Приложението подмамва потребителя да вярва, че е спряно, докато мълчаливо слуша на заден план.
За Google Home хакът беше още по-лесен и нямаше нужда да се определят задействащи думи, за да се подслушва. Изследователите отбелязват, че в този случай потребителят е поставен в цикъл, тъй като "устройството непрекъснато изпраща гласови входове към сървъра на хакера, докато издава кратки мълчания между тях."
SRLabs свали всички приложения, които са демонстрирани в горните показани видеоклипове. Изследователите също съобщават своите открития пред Amazon и Google.
Според Ars Technica, двете компании отговориха, като заявиха, че променят процесите си на одобрение и приемат допълнителни механизми, за да избегнат подобни хакове в бъдеще.
Въпреки това няма актуализация нито от Amazon, нито от Google, за да се каже кога тези проблеми ще бъдат отстранени. Също така няма начин да разберем дали умение или действие злоупотребява с тези вратички в миналото.
