Inteligentne głośniki Amazon i Google są podatne na ataki hakerów

Ostatnia aktualizacja lis 25, 2022

Podczas gdy Amazon i Google desperacko próbują nas przekonać, że nie słuchają wszystkiego, co mówimy, badacze bezpieczeństwa wykazali, jak łatwo te urządzenia mogą zostać zinfiltrowane przez hakerów, którzy będą podsłuchiwać Twoje rozmowy. A także – tak dla żartu – wyłudzanie haseł.

Niemiecka grupa badawcza Security Research Labs odkryła lukę w zabezpieczeniach, którą nazwali Smart Spies. Poprzez różne sztuczki dodaje długą pauzę do odpowiedzi Alexy lub Google, abyś pomyślał, że już nie słucha.

Następnie monituje Cię, naśladując Alexę lub Google, o zaktualizowanie urządzenia i prosi o dane osobowe, takie jak hasło, lub po prostu kontynuuje słuchanie i nagrywanie rozmów, transkrypcję tego, co mówisz i wysyłanie transkrypcji do hakera.

Przeczytaj to: Zagłębianie się w nowe narzędzia do ochrony prywatności Amazon

Według raportu ArsTechnica, luka pojawia się, ponieważ chociaż zarówno Amazon, jak i Google przeglądają umiejętności i działania, zanim zostaną dodane do platform, aktualizacje nie są przeglądane, więc pozornie nieszkodliwa aplikacja może zostać zbuntowana i nikt nie jest mądrzejszy .

Analitycy bezpieczeństwa opracowali osiem aplikacji – cztery Alexa Skills i cztery Google Home Actions, które były w stanie zrobić dokładnie to. Głównie proste aplikacje z horoskopami, które za kulisami były w stanie podsłuchiwać lub przekonywać użytkowników do rezygnacji z haseł lub adresów e-mail.

W e-mailu do Gizmodo, Security Research Labs powiedział, że luka została odkryta w lutym. „Byliśmy zaskoczeni, widząc, że hacki Smart Spies nadal działały ponad trzy miesiące po zgłoszeniu problemów do Google i Amazon" – napisali.

Aplikacje nie są już dostępne, ale demonstracje ich działania można zobaczyć w filmach YouTube opublikowanych przez badaczy na ich stronie bloga.

„Użytkownicy muszą być bardziej świadomi potencjału złośliwych aplikacji głosowych, które wykorzystują ich inteligentne głośniki” – napisali na swoim blogu. „Do korzystania z nowej aplikacji głosowej należy podchodzić z podobną ostrożnością, jak do instalowania nowej aplikacji na smartfonie”.

Użytkownicy muszą być bardziej świadomi potencjału złośliwych aplikacji głosowych, które wykorzystują ich inteligentne głośniki

Security Research Labs podzieliło się swoimi ustaleniami z firmami i zaleciło im wdrożenie dokładniejszego procesu przeglądu umiejętności i działań stron trzecich.

Amazon odpowiada grupie następującym oświadczeniem:

„Zaufanie klientów jest dla nas ważne i przeprowadzamy przeglądy bezpieczeństwa w ramach procesu certyfikacji umiejętności. Szybko zablokowaliśmy daną umiejętność i wprowadziliśmy środki zaradcze, aby zapobiegać i wykrywać tego typu zachowanie umiejętności oraz odrzucać je lub usuwać, gdy zostaną zidentyfikowane”.

Powiedzieli również, że wprowadzili „środki łagodzące”, aby zapobiec zgłaszanym problemom, i wskazali, że użytkownicy nigdy nie powinni udostępniać swojego hasła urządzeniom za pośrednictwem głosu, żadne żądanie takich informacji nie pochodzi od Amazon.

Odpowiedź Google była podobna. „Wszystkie działania w Google muszą być zgodne z naszymi zasadami dla programistów, a my zabraniamy i usuwamy wszelkie działania, które naruszają te zasady. Mamy procesy sprawdzania w celu wykrycia typu zachowania opisanego w tym raporcie i usunęliśmy Działania, które znaleźliśmy u tych badaczy. Wprowadzamy dodatkowe mechanizmy, aby zapobiec występowaniu takich problemów w przyszłości”.

Według naukowców istnieje niewiele dowodów na to, że takie aplikacje zagrażają obecnie użytkownikom Alexa i Google Home, jednak użytkownicy tych urządzeń muszą zachować czujność na wszelkie podejrzane działania na swoich inteligentnych głośnikach.