Исследователи обманывают Alexa и Google Home, чтобы подслушивать и красть пароли
Мы знали, что Google и Amazon слушают своих пользователей через их голосовые умные колонки Echo и Home. Тем не менее, группа исследователей безопасности продемонстрировала, как сторонние приложения могут легко подслушивать пользователей и конфиденциальную информацию голосового фишинга, такую как пароли.
Исследователи из немецкой компании SRLabs обнаружили два сценария взлома – подслушивание и фишинг – как для устройств Amazon Alexa, так и для устройств Google Home / Nest. Они создали восемь голосовых приложений (Skills for Alexa и Actions for Google Home), чтобы продемонстрировать хаки, которые превращают эти умные колонки в умных шпионов. Вредоносные голосовые приложения, созданные SRLabs, легко прошли через отдельные процессы проверки Amazon и Google.
Для подслушивания пользователей Amazon Alexa и Google Home и получения от них фишинговой информации использовались разные подходы. Исследователи смогли изменить функциональность навыков и действий, которые они создали для взлома, после того, как Amazon и Google одобрили приложения. После внесения указанных изменений второй раунд проверки не проводился.
Голосовые фишинговые пароли на колонках Amazon Echo и Google Home
На видео ниже вы видите, как пользователь просит Алексу начать навык под названием «Мой счастливый гороскоп». Это вредоносный навык Alexa, созданный и модифицированный SRLabs для фишинга паролей.
Приложение не выдает приветственное сообщение, а вместо этого отвечает: «Этот навык в настоящее время недоступен в вашей стране». На этом этапе пользователь мог бы предположить, что приложение перестало слушать, но на самом деле это не так. Вместо этого навык был взломан, чтобы произносить последовательность символов, которую Алекса не может произнести, поэтому говорящий молчит, когда он фактически делает паузу и слушает.
Затем навык воспроизводит фишинговое сообщение: «Доступно новое обновление для вашего устройства Alexa. Скажите “Старт” и введите свой пароль “. Хотя Amazon никогда не запрашивает пароли таким образом, пользователи, которые не знают, могут быть застигнуты врасплох.
Аналогичный подход использовался для паролей голосового фишинга на динамике Google Home Mini.
Подслушивание пользователей через динамики Amazon Echo и Google Home
Для подслушивания исследователи использовали то же приложение-гороскоп для умной колонки Amazon. Приложение обманом заставляет пользователя поверить в то, что оно было остановлено, пока оно молча слушает в фоновом режиме.
Для Google Home взлом был еще проще, и не было необходимости указывать триггерные слова для подслушивания. Исследователи отмечают, что в этом случае пользователь попадает в цикл, поскольку «устройство постоянно отправляет голосовые данные на сервер хакера, а между ними выдает короткие паузы».
SRLabs удалил все приложения, которые демонстрируются в показанных выше видео. Исследователи также сообщили о своих результатах в Amazon и Google.
Согласно Ars Technica, обе компании ответили, что они меняют свои процессы утверждения и внедряют дополнительные механизмы, чтобы избежать подобных взломов в будущем.
Однако ни от Amazon, ни от Google нет обновлений, чтобы сказать, когда эти проблемы будут исправлены. Также невозможно узнать, использовало ли какое-либо умение или действие эти лазейки в прошлом.
Источник записи: https://www.androidauthority.com