Tartalom
- Voice phishing jelszavak az Amazon Echo és a Google Home hangszórókban
- Figyelés a felhasználókra az Amazon Echo és a Google Home hangszórók segítségével
Tudtuk, hogy a Google és az Amazon hallgatja felhasználóit a hanggal aktiválható Echo és Home intelligens hangszórókon keresztül. A biztonsági kutatók egy csoportja azonban most bemutatta, hogy a harmadik féltől származó alkalmazások könnyen lehallgassák a felhasználókat és a hang-adathalász érzékeny információkat, például jelszavakat.
A németországi SRLabs kutatói két hackelési forgatókönyvet - lehallgatást és adathalászatot - találtak mind az Amazon Alexa, mind a Google Home / Nest eszközökre. Nyolc hangalkalmazást hoztak létre (Skills for Alexa és Actions for Google Home), hogy bemutassák azokat a hackeket, amelyek ezeket az okos hangszórókat intelligens kémekké változtatják. A SRLabs által létrehozott rosszindulatú hangalkalmazások könnyen átjutottak az Amazon és a Google egyedi szűrési folyamatain.
Különböző megközelítéseket alkalmaztak az Amazon Alexa és a Google Home felhasználók hallgatására és az információ megkérésére tőlük. A kutatók képesek voltak megváltoztatni a hackeléshez létrehozott készségek és műveletek funkcionalitását, miután az Amazon és a Google jóváhagyta az alkalmazásokat. Az említett változtatások után nem került sor második felülvizsgálati körre.
Voice phishing jelszavak az Amazon Echo és a Google Home hangszórókban
Az alábbi videóban láthatja, hogy egy felhasználó hogyan kéri Alexát, hogy indítsa el a My Lucky Horoscope nevű készséget. Ez egy rosszindulatú Alexa készség, amelyet a SRLabs készített és módosított a jelszavak megkérdezésére.
Az alkalmazás nem ad üdvözletet, és ehelyett azt válaszolja: „Ez a készség jelenleg nem érhető el az Ön országában.” Ezen a ponton a felhasználó azt feltételezi, hogy az alkalmazás megállította a hallgatást, de valójában nem. Ehelyett megtámadták azt a képességet, hogy olyan karaktersorozatokat mondjanak ki, amelyeket Alexa nem tud kiejteni, ezért a hangszóró hallgat, amikor valóban szünetel és hallgat.
A készség ezután adathalász mondással játssza le: „Új frissítés érhető el az Alexa készülékén. Mondja meg, hogy kezdje, majd kövesse a jelszavát. ”Míg az Amazon soha nem kér ilyen jelszavakat, a tudatlan felhasználókat őrizetbe vehetik.
Hasonló megközelítést alkalmaztak a hangos adathalász jelszavak használatához a Google Home Mini hangszórón.
Figyelés a felhasználókra az Amazon Echo és a Google Home hangszórók segítségével
Lehallgatás céljából a kutatók ugyanazt a horoszkóp alkalmazást használták az Amazon intelligens hangszórójára. Az alkalmazás becsapja a felhasználót abban, hogy azt hitte, hogy leállták, miközben csendesen hallgat a háttérben.
A Google Kezdőlap számára a hackelés még könnyebb volt, és a lehallgatáshoz nem kellett megadni kiváltó szavakat. A kutatók megjegyzik, hogy ebben az esetben a felhasználót egy hurokba helyezik, mivel „az eszköz folyamatosan hangbemeneteket küld a hackerek szerveréhez, miközben rövid csendet ad ki köztük”.
A SRLabs eltávolította az összes alkalmazást, amely a fenti videókban bemutatásra került. A kutatók eredményeiről is beszámoltak az Amazonnak és a Google-nak.
Szerint Ars Technica, mindkét társaság azt válaszolta, hogy megváltoztatja jóváhagyási eljárásait, és további mechanizmusokat fogad el az ilyen csapdák elkerülése érdekében a jövőben.
Azonban sem az Amazon, sem a Google nem végez frissítést arról, hogy mikor javítják ezeket a kérdéseket. Nem is tudhatjuk arról, hogy egy készség vagy cselekedet visszaélte-e ezeket a kiskapukat a múltban.
