Περιεχόμενο

• Κωδικοί πρόσβασης phishing phishing στο Amazon Echo και στο Google Home speakers
• Παρακολουθήστε τους χρήστες μέσω του Amazon Echo και των ομιλητών Home της Google

Γνωρίζαμε ότι η Google και το Amazon ακούνε τους χρήστες τους μέσω των ενεργών ομιλητών Echo και Home. Ωστόσο, μια ομάδα ερευνητών στον τομέα της ασφάλειας έχει δείξει τώρα πώς μπορούν οι εφαρμογές τρίτων κατασκευαστών να παρακολουθήσουν εύκολα τους χρήστες και τις ευαίσθητες από φωνή πληροφορίες όπως οι κωδικοί πρόσβασης.

Οι ερευνητές στη γερμανική εταιρία SRLabs βρήκαν δύο σενάρια hacking - υποκλοπές και phishing - τόσο για τις συσκευές Amazon Alexa όσο και για τις συσκευές Google Home / Nest. Δημιούργησαν οκτώ εφαρμογές φωνής (Δεξιότητες για Alexa και Ενέργειες για το Google Home) για να επιδείξουν τα hacks που μετατρέπουν αυτά τα έξυπνα ηχεία σε έξυπνους κατασκόπους. Οι κακόβουλες εφαρμογές φωνής που δημιουργήθηκαν από το SRLabs πέρασαν εύκολα μέσω του Amazon και των διαδικασιών ατομικής προβολής της Google.

Διαφορετικές προσεγγίσεις χρησιμοποιήθηκαν για να παρακολουθήσουν τους χρήστες του Amazon Alexa και του Google Home και να αποκρύψουν πληροφορίες από αυτούς. Οι ερευνητές μπόρεσαν να αλλάξουν τη λειτουργικότητα των δεξιοτήτων και των ενεργειών που δημιούργησαν για την πειρατεία μετά από το Amazon και η Google ενέκρινε τις εφαρμογές. Δεν έγινε δεύτερος γύρος αναθεωρήσεων μετά την πραγματοποίηση των εν λόγω αλλαγών.

Κωδικοί πρόσβασης phishing phishing στο Amazon Echo και στο Google Home speakers

Στο παρακάτω βίντεο, βλέπετε πώς οι χρήστες ζητούν από την Alexa να ξεκινήσει μια δεξιότητα που ονομάζεται Lucky Horoscope μου. Αυτή είναι μια κακόβουλη δεξιότητα της Alexa που δημιουργήθηκε και τροποποιήθηκε από το SRLabs για να καταργήσει τους κωδικούς πρόσβασης.

Η εφαρμογή δεν δίνει ένα μήνυμα καλωσορίσματος και αντ 'αυτού, απαντώντας λέγοντας: "Αυτήν τη στιγμή η ικανότητα δεν είναι διαθέσιμη στη χώρα σας". Σε αυτό το σημείο, ένας χρήστης θα υποθέσει ότι η εφαρμογή έχει σταματήσει να ακούει, αλλά δεν έχει. Αντ 'αυτού, η δεξιότητα έχει πειραχτεί για να πει μια ακολουθία χαρακτήρων που η Alexa δεν μπορεί να προφέρει, οπότε ο ομιλητής παραμένει σιωπηλός όταν είναι στην πραγματικότητα παύση και ακρόαση.

Στη συνέχεια, η δεξιότητα παίζει φωνή λέγοντας: "Μια νέα ενημέρωση είναι διαθέσιμη για τη συσκευή σας Alexa. Σας παρακαλούμε να ξεκινήσετε ακολουθώντας τον κωδικό πρόσβασής σας. "Ενώ ο Amazon ποτέ δεν ζητάει κωδικούς πρόσβασης με αυτό τον τρόπο, οι χρήστες που αγνοούν μπορούν να παραληφθούν.

Μια παρόμοια προσέγγιση χρησιμοποιήθηκε για κωδικούς πρόσβασης φωνητικού phishing σε ομιλητή Google Home Mini.

Παρακολουθήστε τους χρήστες μέσω του Amazon Echo και των ομιλητών Home της Google

Για την υποκλοπή, οι ερευνητές χρησιμοποίησαν την ίδια εφαρμογή ωροσκόπιο για τον έξυπνο ομιλητή του Amazon. Το app κόλπο τον χρήστη να πιστέψει ότι έχει σταματήσει ενώ ακούει σιωπηλά στο παρασκήνιο.

Για το Google Home, το hack ήταν ακόμα πιο εύκολο και δεν υπήρχε λόγος να καθορίζουμε λέξεις ενεργοποίησης για την υποκλοπή. Οι ερευνητές σημειώνουν ότι σε αυτή την περίπτωση, ο χρήστης τίθεται σε βρόχο ως "η συσκευή στέλνει συνεχώς φωνητικές εισροές στον διακομιστή του χάκερ ενώ εκπέμπει σύντομες σιωπές ενδιάμεσα".

Το Googleabs έχει καταργήσει όλες τις εφαρμογές που προβάλλονται στα παραπάνω βίντεο. Οι ερευνητές ανέφεραν επίσης τα ευρήματά τους στο Amazon και το Google.

Όπως ανά Ars Technica, και οι δύο εταιρείες απάντησαν λέγοντας ότι αλλάζουν τις διαδικασίες έγκρισής τους και υιοθετούν πρόσθετους μηχανισμούς για να αποφύγουν τέτοιες αμυχές στο μέλλον.

Ωστόσο, δεν υπάρχει ενημέρωση ούτε από το Amazon ούτε από την Google για να πει πότε θα διορθωθούν αυτά τα θέματα. Δεν υπάρχει κανένας τρόπος να γνωρίζουμε αν μια δεξιότητα ή δράση έκανε κατάχρηση αυτών των κενών στο παρελθόν.