Turinys

• Balso sukčiavimo slaptažodžiai „Amazon Echo“ ir „Google Home“ garsiakalbiuose
• Klausymas apie vartotojus naudojant „Amazon Echo“ ir „Google Home“ garsiakalbius

Žinojome, kad „Google“ ir „Amazon“ klausosi savo vartotojų per išmaniuosius garsiakalbius, kuriuos įjungia balsas „Echo“ ir „Home“. Tačiau grupė saugumo tyrinėtojų dabar pademonstravo, kaip trečiųjų šalių programos gali lengvai įsiklausyti į vartotojus ir pateikti slaptą balso paslapties informaciją, pvz., Slaptažodžius.

Vokietijos „SRLabs“ tyrėjai nustatė du įsilaužimo scenarijus - slaptą slaptą slaptavimąsi ir sukčiavimą - tiek „Amazon Alexa“, tiek „Google Home / Nest“ įrenginiuose. Jie sukūrė aštuonias balso programas („Skills for Alexa“ ir „Actions“ „Google Home“), kad pademonstruotų įsilaužimus, kurie paverčia šiuos išmaniuosius garsiakalbius intelektualiais šnipais. Kenkėjiškos balso programos, kurias sukūrė „SRLabs“, lengvai praeina per „Amazon“ ir „Google“ individualius tikrinimo procesus.

„Amazon Alexa“ ir „Google Home“ vartotojų pasiklausymui ir informacijos iš jų gavimui buvo naudojami skirtingi metodai. Tyrėjams pavyko pakeisti įgūdžių ir veiksmų, kuriuos jie sukūrė įsilaužimui, funkcionalumą po to, kai „Amazon“ ir „Google“ patvirtino programas. Po minėtų pakeitimų antrojo peržiūros raundo nebuvo.

Balso sukčiavimo slaptažodžiai „Amazon Echo“ ir „Google Home“ garsiakalbiuose

Žemiau esančiame vaizdo įraše matote, kaip vartotojai prašo Alexos pradėti įgūdžius, vadinamus mano laimės horoskopu. Tai yra kenksmingas „Alexa“ įgūdis, kurį sukūrė ir modifikavo „SRLabs“ norėdamas paslėpti slaptažodžius.

Programa nesveikina, o atsakoma sakydama: „Šis įgūdis jūsų šalyje šiuo metu negalimas.“ Šiuo metu vartotojas manytų, kad programa nustojo klausytis, bet to dar nėra. Vietoj to, buvo užkirstas kelias pasakyti simbolių seką, kurios Alexa negali ištarti, todėl kalbėtojas tyli, kai iš tikrųjų pristabdo ir klauso.

Tada šis įgūdis sufiksavo sukčiavimo posakį: „Jūsų„ Alexa “įrenginyje yra naujas atnaujinimas. Pasakykite, kad pradėkite, tada nurodykite slaptažodį. “Nors„ Amazon “niekada neprašo slaptažodžio tokiu būdu, vartotojai, kurie nieko nežino, gali būti sugauti.

Panašus metodas buvo naudojamas balso sukčiavimo slaptažodžiams „Google Home Mini“ garsiakalbyje.

Klausymas apie vartotojus naudojant „Amazon Echo“ ir „Google Home“ garsiakalbius

Klausydamiesi tyrėjai panaudojo tą pačią horoskopo programą, skirtą išmaniajam „Amazon“ garsiakalbiui. Programa apgauna vartotoją, manydama, kad jis buvo sustabdytas, kol tyliai klausosi fone.

„Google“ pagrindiniame puslapyje įsilaužimas buvo dar lengvesnis ir nereikėjo nurodyti suaktyvinamųjų žodžių, kad būtų galima įsiklausyti. Tyrėjai pastebi, kad tokiu atveju vartotojui suteikiama kilpa, nes „įrenginys nuolat siunčia balso įvestis į įsilaužėlio serverį, tuo tarpu perduodamas trumpus nutildymus“.

„SRLabs“ panaikino visas programas, kurios demonstruojamos aukščiau pateiktuose vaizdo įrašuose. Tyrėjai taip pat pranešė apie savo radinius „Amazon“ ir „Google“.

Kaip už „Ars Technica“, abi bendrovės atsakė sakydamos, kad keičia patvirtinimo procesus ir priima papildomus mechanizmus, kad ateityje būtų išvengta tokių įsilaužimų.

Tačiau nėra atnaujinimo nei iš „Amazon“, nei iš „Google“, kad būtų galima pasakyti, kada šios problemos bus išspręstos. Taip pat negalima žinoti, ar praeityje įgūdis ar veiksmas netinkamai panaudojo šias spragas.