Conţinut
- Parolele de phishing vocal pe boxele Amazon Echo și Google Home
- Folosirea de utilizatori prin boxe Amazon Echo și Google Home
Știam că Google și Amazon își ascultă utilizatorii prin difuzoarele inteligente Echo și Home activate prin voce. Cu toate acestea, un grup de cercetători în domeniul securității au demonstrat acum modul în care aplicațiile terță parte pot uda cu ușurință utilizatorii și informațiile sensibile la voce-phish precum parolele.
Cercetătorii de la companiile germane SRLabs au descoperit două scenarii de hacking - epuizare și phishing - atât pentru dispozitivele Amazon Alexa, cât și pentru dispozitivele Google Home / Nest. Au creat opt aplicații vocale (Abilități pentru Alexa și Acțiuni pentru Google Home) pentru a demonstra barele care transformă aceste boxe inteligente în spionuri inteligente. Aplicațiile vocale dăunătoare create de SRLabs au trecut cu ușurință prin procesele de ecranizare individuale ale Amazon și Google.
Diferite abordări au fost folosite pentru a ascunde informațiile de pe Amazon Alexa și utilizatorii Google Home și pentru a genera informații de la ei. Cercetătorii au putut schimba funcționalitatea abilităților și acțiunilor pe care le-au creat pentru hacking după ce Amazon și Google au aprobat aplicațiile. Nu a existat o a doua rundă de comentarii solicitate după modificările menționate.
Parolele de phishing vocal pe boxele Amazon Echo și Google Home
În videoclipul de mai jos, vedeți cum un utilizator îi cere lui Alexa să înceapă o abilitate numită Horoscopul meu norocos. Aceasta este o abilitate rău intenționată Alexa creată și modificată de SRLabs pentru a phish pentru parole.
Aplicația nu dă bun venit și, în schimb, răspunde spunând: „Această abilitate nu este disponibilă în prezent în țara dvs.”. În acest moment, un utilizator ar presupune că aplicația a încetat să asculte, dar chiar nu a reușit. În schimb, abilitatea a fost piratată pentru a spune o secvență de caractere pe care Alexa nu o poate pronunța, prin urmare, vorbitorul rămâne tăcut atunci când este de fapt oprit și ascultat.
Apoi, abilitatea joacă un phishing spunând: „O nouă actualizare este disponibilă pentru dispozitivul dvs. Alexa. Vă rugăm să spuneți începeți urmată de parola dvs. ”În timp ce Amazon nu solicită niciodată parole în acest mod, utilizatorii care nu știu pot fi prinși în pază.
O abordare similară a fost utilizată pentru parolele de tip phishing vocal pe un difuzor Google Home Mini.
Folosirea de utilizatori prin boxe Amazon Echo și Google Home
Pentru audierea, cercetătorii au folosit aceeași aplicație pentru horoscop pentru difuzorul inteligent Amazon. Aplicația îl păcălește pe utilizator să creadă că a fost oprită în timp ce ascultă în tăcere în fundal.
Pentru Google Home, hack-ul a fost și mai ușor și nu a fost necesară specificarea cuvintelor declanșatoare pentru a putea fi ascunsă. Cercetătorii remarcă faptul că, în acest caz, utilizatorul este pus în buclă, deoarece „dispozitivul trimite constant intrări vocale către serverul hackerului, în timp ce emite tăceri scurte între ele.”
SRLabs a eliminat toate aplicațiile care sunt demorate în videoclipurile de mai sus. Cercetătorii au raportat, de asemenea, descoperirile lor către Amazon și Google.
Conform Ars Technica, ambele companii au răspuns spunând că își schimbă procesele de aprobare și adoptă mecanisme suplimentare pentru a evita astfel de obstacole în viitor.
Cu toate acestea, nu există nicio actualizare de la Amazon sau Google pentru a spune când vor fi rezolvate aceste probleme. De asemenea, nu există nicio modalitate de a ști dacă o abilitate sau o acțiune a folosit greșit aceste lacune în trecut.
