Amazon ja Google’i nutikõlarid on häkkerite suhtes haavatavad

Viimati uuendatud nov. 25, 2022

Samal ajal kui Amazon ja Google püüavad meid meeleheitlikult veenda, et nad ei kuula kõike, mida me ütleme, on turvauurijad näidanud, kui kergesti võivad teie vestlusi pealt kuulavad häkkerid nendesse seadmetesse tungida. Ja ka – lihtsalt itsitamiseks – püüdke oma paroole anda.

Saksa uurimisrühm Security Research Labs avastas haavatavuse, mille nad on nimetanud nutikateks spioonideks. Erinevate trikkide abil lisab see Alexa või Google'i vastusele pika pausi, et panna teid arvama, et see ei kuula enam.

Seejärel palub see teil Alexat või Google'it jäljendades oma seadet värskendada ja küsib isikut tuvastavat teavet, näiteks parooli, või lihtsalt jätkab teie vestluste kuulamist ja salvestamist, transkribeerib teie öeldut ja saadab häkkerile ärakirja.

Lugege seda: Amazoni uute privaatsustööriistade uurimine

ArsTechnica raporti kohaselt pääseb haavatavus sisse seetõttu, et kuigi nii Amazon kui ka Google vaatavad oskused ja toimingud enne nende platvormidele lisamist üle, värskendusi üle ei vaadata, seega võib pealtnäha kahjutu rakendus petta, ilma et keegi oleks targem. .

Turvateadlased töötasid välja kaheksa rakendust – neli Alexa Skillsi ja neli Google Home Actionit, mis suutsid just seda teha. Peamiselt lihtsad horoskoobirakendused kulisside taga suutsid kuulata või veenda kasutajaid paroolidest või e-posti aadressidest loobuma.

Gizmodole saadetud meilis teatas Security Research Labs, et haavatavus avastati veebruaris. "Olime üllatunud, kui nägime, et Smart Spies'i häkid töötasid veel rohkem kui kolm kuud pärast Google'ile ja Amazonile probleemidest teatamist," kirjutasid nad.

Rakendused pole enam saadaval, kuid teadlaste poolt oma ajaveebi lehele postitatud YouTube'i videotes näete demonstratsioone nende toimimise kohta .

"Kasutajad peavad olema teadlikumad pahatahtlike häälrakenduste potentsiaalist, mis kuritarvitavad nende nutikõlareid," kirjutasid nad oma ajaveebis. "Uue häälerakenduse kasutamisele tuleks suhtuda samasuguse ettevaatusega kui nutitelefoni uue rakenduse installimisse."

Kasutajad peavad olema teadlikumad pahatahtlike häälrakenduste potentsiaalist, mis kuritarvitavad nende nutikõlareid

Security Research Labs jagas oma järeldusi ettevõtetega ja on soovitanud neil rakendada põhjalikumaid kolmandate osapoolte oskuste ja tegevuste ülevaatusprotsesse.

Amazon vastab rühmale järgmise avaldusega:

„Klientide usaldus on meie jaoks oluline ja me viime läbi turvaülevaateid osana oskuste sertifitseerimise protsessist. Blokeerisime kiiresti kõnealuse oskuse ja rakendasime leevendusi, et seda tüüpi oskuste käitumist ennetada ja tuvastada ning need tuvastamisel tagasi lükata või maha võtta.

Samuti ütlesid nad, et on tõstatatud probleemide vältimiseks kasutusele võtnud "leevendusmeetmed" ja juhtisid tähelepanu sellele, et kasutajad ei tohiks kunagi jagada oma parooli seadmetega hääle teel, kuna sellist teavet ei taotle Amazon.

Google'i vastus oli sarnane. „Kõik Google'is tehtavad toimingud peavad järgima meie arendaja eeskirju ning me keelame ja eemaldame kõik toimingud, mis neid eeskirju rikuvad. Oleme läbivaatamise protsessid, et tuvastada selles aruandes kirjeldatud käitumist, ja eemaldasime nendelt teadlastelt leitud toimingud. Me rakendame täiendavaid mehhanisme, et vältida nende probleemide esinemist tulevikus.

Teadlaste sõnul on vähe tõendeid selle kohta, et sellised rakendused ohustavad praegu Alexa ja Google Home'i kasutajaid, kuid nende seadmete kasutajad peavad olema valvsad kõigi nende nutikõlarite kahtlaste tegevuste suhtes.