Sisu

• Häälepüügi paroolid Amazon Echo ja Google Home'i kõlarites
• Kasutajate pealtkuulamine Amazon Echo ja Google Home'i kõlarite kaudu

Teadsime, et Google ja Amazon kuulavad oma kasutajaid nutitelefoni Echo ja Home abil kõlaritest. Kuid grupp turbeuurijaid on nüüd näidanud, kuidas kolmandate osapoolte rakendused saavad hõlpsalt pealt kuulata kasutajaid ja kasutada andmepüügiks tundlikku teavet, näiteks paroole.

Saksamaa SRLabsi teadlased leidsid nii Amazon Alexa kui ka Google Home / Nesti seadmete jaoks kaks häkkimisstsenaariumi - pealtkuulamine ja andmepüük. Nad lõid kaheksa häälerakendust (Skills for Alexa ja Actions for Google Home), et näidata häkke, mis muudavad need nutikad kõlarid nutikateks spioonideks. SRLabsi loodud pahatahtlikud häälerakendused läksid hõlpsalt läbi Amazoni ja Google'i individuaalsete sõelumisprotsesside.

Amazon Alexa ja Google Home'i kasutajate pealtkuulamiseks ja neilt teabe kogumiseks kasutati erinevaid lähenemisviise. Teadlased suutsid häkkimiseks loodud oskuste ja toimingute funktsionaalsust muuta pärast seda, kui Amazon ja Google olid rakendused heaks kiitnud. Pärast nimetatud muudatuste tegemist ei olnud teist läbivaatamisvooru.

Häälepüügi paroolid Amazon Echo ja Google Home'i kõlarites

Allolevas videos näete, kuidas kasutajad paluvad Alexal alustada oskust nimega Minu õnnelik horoskoop. See on pahatahtlik Alexa oskus, mille SRLabs on loonud ja muutnud paroolide õngevõtmiseks.

Rakendus ei avalda teretulnud vastust ja vastab sellele, öeldes: „See oskus pole teie riigis praegu saadaval.” Praegu arvab kasutaja, et rakenduse kuulamine on lakanud, kuid tegelikult pole seda tehtud. Selle asemel on hävitatud oskus öelda tähemärgijärjestust, mida Alexa ei saa hääldada, seetõttu jääb rääkija vaikseks, kui see on tegelikult peatatud ja kuulatud.

Seejärel mängib oskus õngevõtmise ütlust: “Teie Alexa seade on saadaval uue värskendusega. Palun öelge, et alustaksite oma parooliga. ”Kuigi Amazon ei küsi kunagi paroole sel viisil, saavad kasutajad, kes ei ole teadlikud, suletud.

Sarnast lähenemist kasutati häälpüügi paroolide korral ka Google Home Mini kõlaris.

Kasutajate pealtkuulamine Amazon Echo ja Google Home'i kõlarite kaudu

Pealtkuulamiseks kasutasid teadlased sama horoskoobirakendust ka Amazoni nutikõlari jaoks. Rakendus meelitab kasutajat uskuma, et see on peatatud, kui ta seda vaikselt taustal kuulab.

Google Home'i jaoks oli häkkimine veelgi lihtsam ja pealtkuulamiseks polnud vaja käivitavaid sõnu täpsustada. Teadlased märgivad, et sel juhul pannakse kasutaja silmusesse, kuna "seade saadab häkkerite serverisse pidevalt häälsisendeid, väljutades samal ajal lühikese vaikuse."

SRLabs on eemaldanud kõik rakendused, mida on ülaltoodud videotes demonstreeritud. Teadlased teatasid oma avastustest ka Amazonile ja Google'ile.

Kohta Ars Technica, vastasid mõlemad ettevõtted, öeldes, et nad muudavad oma heakskiitmisprotsesse ja võtavad kasutusele täiendavaid mehhanisme, et tulevikus selliseid häkkereid vältida.

Kuid Amazon ega Google ei saa värskendusi öelda, millal need probleemid lahendatakse. Samuti ei saa teada, kas mõni oskus või tegevus on neid lünki minevikus kuritarvitanud.