Saturs

• Balss pikšķerēšanas paroles Amazon Echo un Google Home skaļruņos
• Lietotāju noklausīšanās, izmantojot Amazon Echo un Google Home skaļruņus

Mēs zinājām, ka Google un Amazon klausās savus lietotājus, izmantojot viņu balss aktivizētos viedo skaļruņus Echo un Home. Tomēr drošības pētnieku grupa tagad ir parādījusi, kā trešo pušu lietotnes var viegli noklausīties lietotājus un izraisīt ar balsi saistītas informācijas sensitīvu informāciju, piemēram, paroles.

Vācijas SRLabs pētnieki atrada divus uzlaušanas scenārijus - noklausīšanos un pikšķerēšanu gan Amazon Alexa, gan Google Home / Nest ierīcēm. Viņi izveidoja astoņas balss lietotnes (Skills for Alexa un Actions for Google Home), lai demonstrētu hakerus, kas pārvērš šos viedos skaļruņus par viedajiem spiegiem. Ļaunprātīgās balss lietotnes, kuras izveidojis SRLabs, viegli izgāja cauri Amazon un Google individuālajiem pārbaudes procesiem.

Tika izmantotas dažādas pieejas, lai noklausītos Amazon Alexa un Google Home lietotājus, kā arī lai no viņiem iegūtu informāciju. Pēc tam, kad Amazon un Google apstiprināja lietotnes, pētnieki varēja mainīt to prasmju un darbību funkcionalitāti, kuras viņi izveidoja hakeru veidošanai. Pēc minēto izmaiņu veikšanas netika ierosināta otrā pārskatīšanas kārta.

Balss pikšķerēšanas paroles Amazon Echo un Google Home skaļruņos

Zemāk esošajā videoklipā jūs redzat, kā lietotāji lūdz Alexa sākt prasmi, ko sauc par manu laimīgo horoskopu. Šī ir ļaunprātīga Alexa prasme, ko izveidojis un pārveidojis SRLabs, lai izzinātu paroles.

Lietotne nesveicina un tā vietā atbild, sakot: “Šī prasme pašlaik jūsu valstī nav pieejama.” Šajā brīdī lietotājs uzskatītu, ka lietotne ir pārstājusi klausīties, bet patiesībā tā nav. Tā vietā ir tikusi uzlauzta prasme pateikt rakstzīmju secību, kuru Alexa nevar izrunāt, tāpēc runātājs klusē, kad faktiski ir apturēts un klausās.

Pēc tam prasme atskaņo pikšķerēšanas teicienu: “Jūsu Alexa ierīcei ir pieejams jauns atjauninājums. Lūdzu, sakiet sākums, kam seko jūsu parole. ”Kamēr Amazon nekad nelūdz paroles šādā veidā, lietotājus, kuri neko nezina, var aizturēt.

Līdzīga pieeja tika izmantota balss pikšķerēšanas parolēm Google Home Mini skaļrunī.

Lietotāju noklausīšanās, izmantojot Amazon Echo un Google Home skaļruņus

Noklausīšanās nolūkos pētnieki izmantoja to pašu horoskopa lietotni Amazon viedajam skaļrunim. Lietotne maldina lietotāju, uzskatot, ka tā ir apturēta, kamēr klusībā klausās fonā.

Vietnei Google Home hakerēšana bija vēl vienkāršāka, un, lai noklausītos, nebija jānorāda sprūda vārdi. Pētnieki atzīmē, ka šajā gadījumā lietotājam tiek piešķirta cilpa, jo “ierīce pastāvīgi sūta balss ieejas uz hakeru serveri, vienlaikus starojot īsus klusuma signālus”.

SRLabs ir noņemis visas lietotnes, kas demonstrētas iepriekš parādītajos videoklipos. Pētnieki arī ziņoja par saviem atklājumiem Amazon un Google.

Kā norādīts Ars Technica, abi uzņēmumi atbildēja, sakot, ka viņi maina apstiprināšanas procesus un pieņem papildu mehānismus, lai nākotnē izvairītos no šādiem hackiem.

Tomēr nav ne Amazon, ne Google atjauninājumu, lai pateiktu, kad šīs problēmas tiks novērstas. Nav arī iespēju zināt, vai kāda iemaņa vai darbība iepriekš ir izmantojusi šīs nepilnības.