Amazon ja Googlen älykkäät kaiuttimet ovat haavoittuvia hakkereille

Viimeisin päivitys marras 25, 2022

Juuri kun Amazon ja Google yrittävät epätoivoisesti saada meidät vakuuttuneiksi siitä, etteivät he kuuntele kaikkea, mitä sanomme, turvallisuustutkijat ovat osoittaneet, kuinka helposti keskustelusi salakuuntelevat hakkerit voivat tunkeutua näihin laitteisiin. Ja myös – vain nauraen – kalastella salasanojasi.

Saksalainen tutkimusryhmä Security Research Labs löysi haavoittuvuuden, jota he ovat kutsuneet Smart Spiesiksi. Erilaisten temppujen avulla se lisää pitkän tauon Alexan tai Googlen vastaukseen saadakseen sinut ajattelemaan, että se ei enää kuuntele.

Se kehottaa sinua jäljittelemään Alexaa tai Googlea päivittämään laitteesi ja pyytää henkilökohtaisia tunnistetietoja, kuten salasanaa, tai yksinkertaisesti jatkaa keskustelujesi kuuntelemista ja tallentamista, litteroimalla sanomasi ja lähettämällä transkription hakkereille.

Lue tämä: Tutustu Amazonin uusiin tietosuojatyökaluihin

ArsTechnican raportin mukaan haavoittuvuus pääsee sisään, koska vaikka sekä Amazon että Google tarkistavat Skills and Actions -sovellukset ennen niiden lisäämistä alustoihin, päivityksiä ei tarkisteta, joten vaarattomalta vaikuttava sovellus voi mennä huijareiksi, kun kukaan ei ole viisaampi. .

Tietoturvatutkijat kehittivät kahdeksan sovellusta – neljä Alexa Skillsiä ja neljä Google Home Actionsia, jotka pystyivät tekemään juuri tämän. Pääasiassa yksinkertaiset horoskooppisovellukset kulissien takana pystyivät kuuntelemaan tai vakuuttamaan käyttäjät luopumaan salasanoista tai sähköpostiosoitteista.

Security Research Labs kertoi Gizmodolle lähettämässään sähköpostissa, että haavoittuvuus löydettiin helmikuussa. "Olimme yllättyneitä nähdessämme, että Smart Spies -hakkerit toimivat edelleen yli kolme kuukautta sen jälkeen, kun olimme raportoineet ongelmista Googlelle ja Amazonille", he kirjoittivat.

Sovellukset eivät ole enää saatavilla, mutta voit nähdä esittelyjä niiden toiminnasta tutkijoiden blogisivuilleen lähettämissä YouTube-videoissa .

"Käyttäjien on oltava tietoisempia haitallisten äänisovellusten mahdollisuuksista, jotka käyttävät väärin heidän älykaiuttimiaan", he kirjoittivat blogissaan. "Uuden puhesovelluksen käyttöön tulee suhtautua yhtä varovaisesti kuin uuden sovelluksen asentamiseen älypuhelimeesi."

Käyttäjien on oltava tietoisempia älykkäitä kaiuttimia väärinkäyttävien haitallisten äänisovellusten mahdollisuuksista

Security Research Labs jakoi havaintojaan yrityksille ja on suositellut niitä ottamaan käyttöön perusteellisempia kolmansien osapuolien taitojen ja toimien arviointiprosesseja.

Amazon vastaa ryhmälle seuraavalla lausunnolla:

"Asiakkaiden luottamus on meille tärkeää, ja teemme tietoturvatarkastuksia osana osaamisen sertifiointiprosessia. Estimme nopeasti kyseisen taidon ja otimme käyttöön lievennyksiä estääksemme ja havaitsimme tämän tyyppisen taitokäyttäytymisen ja hylkäämme tai poistamme ne, kun ne tunnistetaan."

He sanoivat myös, että he ovat ottaneet käyttöön "lievennyksiä" esiin tulleiden ongelmien estämiseksi ja huomauttivat, että käyttäjien ei pitäisi koskaan jakaa salasanaansa laitteiden kanssa puheen välityksellä, koska tällaisia tietoja koskevat pyynnöt eivät ole Amazonilta.

Googlen vastaus oli samanlainen. "Kaikkien Googlen toimien on noudatettava kehittäjäkäytäntöjämme, ja kiellämme ja poistamme kaikki toimet, jotka rikkovat näitä käytäntöjä. Olemme tarkistaneet prosesseja tässä raportissa kuvatun toiminnan havaitsemiseksi, ja olemme poistaneet näiltä tutkijoilta löytämämme toiminnot. Otamme käyttöön lisämekanismeja estääksemme näiden ongelmien esiintymisen tulevaisuudessa."

Tutkijoiden mukaan ei ole juurikaan todisteita siitä, että tällä hetkellä on olemassa sellaisia sovelluksia, jotka uhkaavat Alexa- ja Google Home -käyttäjiä, mutta näiden laitteiden käyttäjien on pysyttävä valppaina älykaiuttimiensa epäilyttävän toiminnan suhteen.