Содержание

• Голосовые фишинговые пароли на колонках Amazon Echo и Google Home
• Подслушивание пользователей через колонки Amazon Echo и Google Home

Мы знали, что Google и Amazon прислушиваются к своим пользователям через их активированные голосом интеллектуальные колонки Echo и Home. Тем не менее, группа исследователей безопасности продемонстрировала, как сторонние приложения могут легко подслушивать пользователей и конфиденциальную информацию, такую ​​как пароли.

Исследователи из SRLab в Германии обнаружили два сценария взлома - подслушивание и фишинг - для устройств Amazon Alexa и Google Home / Nest. Они создали восемь голосовых приложений («Навыки для Alexa» и «Действия для Google Home»), чтобы продемонстрировать, как эти умные динамики превращаются в умных шпионов. Созданные SRLabs вредоносные голосовые приложения легко проходили через Amazon и отдельные процессы проверки Google.

Различные подходы использовались для подслушивания пользователей Amazon Alexa и Google Home, а также для фишинга информации от них. Исследователи смогли изменить функциональность навыков и действий, которые они создали для взлома после того, как Amazon и Google одобрили приложения. После внесения указанных изменений второй раунд обзоров не предлагался.

Голосовые фишинговые пароли на колонках Amazon Echo и Google Home

В видео ниже вы видите, как пользователи просят Алексу запустить навык под названием «Мой счастливый гороскоп». Это вредоносный навык Alexa, созданный и измененный SRLabs для фишинга паролей.

Приложение не выдает приветствие и вместо этого отвечает: «Этот навык в настоящее время недоступен в вашей стране». В этот момент пользователь может предположить, что приложение перестало слушать, но на самом деле это не так. Вместо этого навык был взломан для произнесения последовательности символов, которую Алекса не может произнести, поэтому говорящий молчит, когда он фактически останавливается и слушает.

Затем умение играет фишинговую поговорку: «Доступно новое обновление для вашего устройства Alexa. Пожалуйста, начните, а затем введите свой пароль ». Хотя Amazon никогда не запрашивает пароли таким образом, неосведомленные пользователи могут быть застигнуты врасплох.

Аналогичный подход использовался для паролей голосового фишинга на динамике Google Home Mini.

Подслушивание пользователей через колонки Amazon Echo и Google Home

Для подслушивания исследователи использовали одно и то же приложение для гороскопа для умного динамика Amazon. Приложение обманывает пользователя, заставляя его поверить, что оно было остановлено, пока оно молча слушает в фоновом режиме.

Для Google Home взломать было еще проще, и не было необходимости указывать триггерные слова для прослушивания. Исследователи отмечают, что в этом случае пользователь зацикливается на том, что «устройство постоянно отправляет голосовые входы на сервер хакера, одновременно выводя короткие паузы».

SRLabs удалил все приложения, которые демонстрируются в показанных выше видео. Исследователи также сообщили о своих результатах в Amazon и Google.

Согласно Арс ТехникаВ ответ обе компании заявили, что они меняют свои процессы утверждения и внедряют дополнительные механизмы, чтобы избежать подобных взломов в будущем.

Тем не менее, ни от Amazon, ни от Google не будет обновлений, которые бы указывали, когда эти проблемы будут исправлены. Также нет способа узнать, не использовали ли навык или действие эти лазейки в прошлом.