Розумні колонки Amazon і Google уразливі для хакерів

Останнє оновлення Лис 25, 2022

Поки Amazon і Google відчайдушно намагаються переконати нас, що вони не прислухаються до всього, що ми говоримо, дослідники безпеки продемонстрували, як легко на ці пристрої можуть проникнути хакери, які підслуховуватимуть ваші розмови. А також – просто для хихикання – фішинг для ваших паролів.

Німецька дослідницька група Security Research Labs виявила вразливість, яку вони назвали Smart Spies. За допомогою різних хитрощів він додає довгу паузу до відповіді Alexa або Google, щоб ви подумали, що він більше не слухає.

Потім він пропонує вам, імітуючи Alexa або Google, оновити свій пристрій і запитує особисту інформацію, таку як пароль, або просто продовжує прослуховувати та записувати ваші розмови, транскрибуючи те, що ви говорите, і надсилаючи стенограму хакеру.

Прочитайте це: вивчення нових інструментів конфіденційності Amazon

Згідно зі звітом ArsTechnica, уразливість виникає через те, що хоча і Amazon, і Google перевіряють навички та дії перед тим, як їх додати на платформи, оновлення не перевіряються, тому, здавалося б, нешкідливий додаток може стати шахраєм, і ніхто не буде розумнішим. .

Дослідники безпеки розробили вісім додатків – чотири Alexa Skills і чотири Google Home Actions, які могли робити саме це. Переважно прості додатки з гороскопом за лаштунками вони могли прослухати або переконати користувачів відмовитися від паролів чи адрес електронної пошти.

У електронному листі до Gizmodo лабораторії безпеки повідомили, що вразливість було виявлено в лютому. «Ми були здивовані, побачивши, що хаки Smart Spies все ще працюють більше ніж через три місяці після того, як повідомили про проблеми Google і Amazon», — написали вони.

Програми більше не доступні, але ви можете побачити демонстрації їх роботи на відео YouTube, опублікованих дослідниками на сторінці свого блогу.

«Користувачі повинні бути більш обізнаними про потенціал шкідливих голосових програм, які зловживають їхніми розумними колонками», — написали вони у своєму блозі. «До використання нового голосового додатка слід підходити з такою ж обережністю, як до встановлення нового додатка на вашому смартфоні».

Користувачі повинні бути більш обізнаними про потенціал шкідливих голосових програм, які зловживають їхніми розумними колонками

Security Research Labs поділилася своїми висновками з компаніями та рекомендувала їм запровадити більш ретельні процеси перевірки навичок і дій третіх сторін.

Amazon відповів групі такою заявою:

«Для нас важлива довіра клієнтів, і ми проводимо перевірки безпеки як частину процесу сертифікації кваліфікації. Ми швидко заблокували відповідну навичку та застосували засоби пом'якшення, щоб запобігти та виявити такий тип поведінки навичок і відхилити або видалити їх, коли їх буде виявлено».

Вони також сказали, що ввели «пом’якшення», щоб запобігти виниклим проблемам, і зазначили, що користувачі ніколи не повинні повідомляти свій пароль пристроям через голос, будь-який запит на таку інформацію не від Amazon.

Відповідь Google була схожою. «Усі Дії в Google мають відповідати нашій політиці для розробників, і ми забороняємо та видаляємо будь-яку Дію, яка порушує цю політику. У нас є процеси перевірки, щоб виявити тип поведінки, описаний у цьому звіті, і ми видалили Дії, які виявили ці дослідники. Ми впроваджуємо додаткові механізми, щоб запобігти виникненню цих проблем у майбутньому».

За словами дослідників, практично немає доказів того, що такі програми загрожують користувачам Alexa та Google Home, однак користувачі цих пристроїв повинні залишатися пильними щодо будь-якої підозрілої активності на своїх розумних колонках.