Sisältö
- Äänitietokalasanat Amazon Echo- ja Google Home -kaiuttimissa
- Käyttäjien salakuuntelu Amazon Echo- ja Google Home -kaiuttimien kautta
Tiesimme, että Google ja Amazon kuuntelevat käyttäjiään ääniohjattujen Echo- ja Home-älykaiuttimien kautta. Ryhmä turvallisuustutkijoita on kuitenkin nyt osoittanut, kuinka kolmannen osapuolen sovellukset voivat helposti salakuuntaa käyttäjiä ja äänihuijauksen arkaluontoisia tietoja, kuten salasanoja.
Saksan SRLab: n tutkijat löysivät kaksi hakkerointitapahtumaa - salakuuntelun ja tietojenkalastelun - sekä Amazon Alexa- että Google Home / Nest -laitteille. He loivat kahdeksan äänisovellusta (Skills for Alexa ja Actions for Google Home) osoittaakseen hakkerit, jotka muuttavat nämä älykkäät kaiuttimet älykköiksi. SRLabs: n luomat haitalliset äänisovellukset siirtyivät helposti Amazonin ja Googlen yksittäisten seulontaprosessien läpi.
Amazon Alexan ja Google Home -käyttäjien salakuunteluun ja tiedon hankkimiseen käytettiin erilaisia lähestymistapoja. Tutkijat pystyivät muuttamaan hakkerointiin luomiensa taitojen ja toimintojen toiminnallisuutta, kun Amazon ja Google hyväksyivät sovellukset. Mainittujen muutosten tekemisen jälkeen ei esitetty toista tarkistuskierrosta.
Äänitietokalasanat Amazon Echo- ja Google Home -kaiuttimissa
Alla olevassa videossa näet kuinka käyttäjät pyytävät Alexaa aloittamaan taito nimeltään My Lucky Horoscope. Tämä on haitallinen Alexa-taito, jonka SRLabs on luonut ja muokannut salasanojen kalastamiseksi.
Sovellus ei tuota tervetulleita, vaan vastaa sen sijaan sanomalla: ”Tätä taitoa ei tällä hetkellä ole saatavana maassasi.” Tässä vaiheessa käyttäjä olettaa, että sovellus on lopettanut kuuntelun, mutta se ei todellakaan ole. Sen sijaan taitoa on hakkeroitu sanomaan merkistö, jota Alexa ei pysty lausumaan, joten puhuja pysyy hiljaa, kun se on todella keskeytetty ja kuunnellut.
Tämän jälkeen taito soittaa phishing-sanomalla: ”Uusi päivitys on saatavana Alexa-laitteellesi. Ole hyvä ja sano aloita ja seuraa salasanasi. ”Vaikka Amazon ei koskaan pyydä salasanoja tällä tavalla, käyttäjät, jotka eivät tiedä, voidaan vangita.
Samanlaista lähestymistapaa käytettiin äänihuijaussalasanoihin Google Home Mini -kaiuttimissa.
Käyttäjien salakuuntelu Amazon Echo- ja Google Home -kaiuttimien kautta
Salakuunteluun tutkijat käyttivät samaa horoskooppisovellusta Amazonin älykkääseen kaiuttimeen. Sovellus huijaa käyttäjää uskomaan, että se on pysäytetty, kun se kuuntelee hiljaa taustalla.
Google Home -palvelussa hakkerointi oli vielä helpompaa, eikä salakuuntelua varten tarvinnut määrittää laukaisusanoja. Tutkijat huomauttavat, että tässä tapauksessa käyttäjä asetetaan silmukkaan, koska "laite lähettää jatkuvasti äänituloja hakkerointipalvelimelle lähettäen samalla lyhyitä hiljaisuuksia välillä".
SRLabs on poistanut kaikki sovellukset, jotka on esitelty yllä esitetyissä videoissa. Tutkijat ilmoittivat havainnoistaan myös Amazonille ja Googlelle.
Kuten kohti Ars Technica, molemmat yritykset vastasivat sanomalla, että he muuttavat hyväksyntäprosessiaan ja ottavat käyttöön lisämekanismeja tällaisten hakkereiden välttämiseksi tulevaisuudessa.
Amazonia tai Googlea ei kuitenkaan ole päivitetty, jotta voidaan sanoa, milloin nämä ongelmat korjataan. Ei voi myöskään tietää, onko jokin taito tai toimenpide väärinkäyttänyt näitä porsaanreikiä aiemmin.
