Умные колонки Amazon и Google уязвимы для хакеров
В то время как Amazon и Google отчаянно пытаются убедить нас, что они не слушают все, что мы говорим, исследователи безопасности продемонстрировали, насколько легко эти устройства могут быть проникнуты хакерами, которые будут подслушивать ваши разговоры. А также — просто для смеха — фишинг ваших паролей.
Немецкая исследовательская группа Security Research Labs обнаружила уязвимость, которую они назвали Smart Spies. С помощью различных уловок он добавляет долгую паузу к ответу Alexa или Google, чтобы вы подумали, что он больше не слушает.
Затем он предлагает вам, имитируя Alexa или Google, обновить ваше устройство и запрашивает личную информацию, такую как пароль, или просто продолжает прослушивать и записывать ваши разговоры, расшифровывая то, что вы говорите, и отправляя стенограмму хакеру.
Прочтите это: Изучение новых инструментов конфиденциальности Amazon
Согласно отчету ArsTechnica, уязвимость возникает из-за того, что, хотя и Amazon, и Google проверяют навыки и действия перед их добавлением на платформы, обновления не проверяются, поэтому, казалось бы, безобидное приложение может выйти из-под контроля, и никто не узнает об этом. .
Исследователи безопасности разработали восемь приложений — четыре Alexa Skills и четыре Google Home Actions, которые смогли сделать именно это. В основном простые приложения с гороскопами за кулисами, которые они могли прослушивать или убеждать пользователей отказаться от паролей или адресов электронной почты.
В электронном письме Gizmodo исследовательская лаборатория безопасности сообщила, что уязвимость была обнаружена в феврале. «Мы были удивлены, увидев, что взломы Smart Spies все еще работали более трех месяцев после сообщения о проблемах в Google и Amazon», — написали они.
Приложения больше не доступны, но вы можете увидеть демонстрацию того, как они работают, в видеороликах YouTube, размещенных исследователями на странице их блога.
«Пользователи должны быть более осведомлены о потенциале вредоносных голосовых приложений, которые злоупотребляют их умными колонками», — написали они в своем блоге. «К использованию нового голосового приложения следует подходить с таким же уровнем осторожности, как и к установке нового приложения на свой смартфон».
Пользователи должны быть более осведомлены о потенциале вредоносных голосовых приложений, которые злоупотребляют своими умными колонками.
Security Research Labs поделилась своими выводами с компаниями и рекомендовала им внедрить более тщательные процессы проверки сторонних навыков и действий.
Amazon ответил группе следующим заявлением:
«Для нас важно доверие клиентов, и мы проводим проверки безопасности в рамках процесса сертификации навыков. Мы быстро заблокировали рассматриваемый навык и внедрили меры по предотвращению и обнаружению такого типа поведения навыков, а также отклонили или удалили их при обнаружении».
Они также заявили, что ввели «смягчающие меры», чтобы предотвратить возникновение проблем, и указали, что пользователи никогда не должны передавать свой пароль устройствам по голосовой связи, любой запрос такой информации не от Amazon.
Ответ Google был аналогичным. «Все действия в Google должны соответствовать нашим правилам для разработчиков, и мы запрещаем и удаляем любые действия, нарушающие эти правила. У нас есть процессы проверки, чтобы определить тип поведения, описанный в этом отчете, и мы удалили Действия, которые мы обнаружили у этих исследователей. Мы внедряем дополнительные механизмы, чтобы предотвратить возникновение подобных проблем в будущем».
По словам исследователей, практически нет доказательств того, что в настоящее время существуют какие-либо такие приложения, угрожающие пользователям Alexa и Google Home, однако пользователям этих устройств необходимо сохранять бдительность в отношении любой подозрительной активности на своих умных колонках.