В прошлом году владельцы умных колонок были встревожены или, по крайней мере, должны были быть встревожены тем, что сотрудники компаний регулярно прослушивали записи запросов колонок.
Но, возможно, они не единственные, кто подслушивает. Сторонние разработчики приложений с гнусными намерениями могут создавать навыки Amazon и действия Google Home, которые могут показаться безобидными, но на самом деле являются «умными шпионами».
Сторонние приложения для умных колонок
Правильно — теперь вам также нужно беспокоиться о сторонних приложениях на вашей умной колонке. Вы знаете, что нужно опасаться их на своем компьютере и мобильных устройствах, но теперь вам также нужно беспокоиться об истинном назначении сторонних приложений на вашей умной колонке.
Хакеры Whitehat из лаборатории исследований безопасности в Германии разработали восемь приложений: четыре навыка Alexa и четыре действия Google Home. Google и Amazon одобрили все приложения.
Все приложения проверены на наличие гороскопов, кроме одного, которое представляет собой генератор случайных чисел. Но эти приложения были «умными шпионами», которые могли подслушивать пользователей умных колонок и фишинговые пароли.
«Всегда было ясно, что эти голосовые помощники влияют на конфиденциальность: Google и Amazon получают вашу речь, и иногда это может срабатывать случайно», – говорит Фабиан Браунлен, старший консультант по безопасности в SRLabs.
«Теперь мы показываем, что не только производители, но… и хакеры могут злоупотреблять голосовыми помощниками, чтобы вторгнуться в чью-то личную жизнь».
Хотя восемь приложений назывались по-разному и работали немного иначе, чем остальные, у них были схожие процессы.
Когда пользователь говорил: «Alexa, попроси мой счастливый гороскоп дать мне гороскоп для Тельца» или «Окей, Google, попроси мой счастливый гороскоп дать мне гороскоп для Тельца», подслушивающие приложения предоставляли гороскоп Тельца, но фишинговые приложения выдавали ложное сообщение об ошибке.
Потом казалось, что приложения больше не работают, но на самом деле они ждут следующего шага запланированной атаки.
Приложения для подслушивания продолжали прослушивать, записывая все разговоры в пределах досягаемости говорящего и отправляя копии в службу, назначенную сервером.
Что касается фишинговых приложений, то после появления сообщения об ошибке, в котором говорилось, что навык или действие недоступно в стране пользователя, оно замолчало, создавая впечатление, что приложение перестало работать. Но вместо этого приложения использовали голос, имитирующий Alexa и Google Assistant, и утверждали, что доступно обновление устройства, и запрашивали пароль для его установки.
Ответ Google и Amazon
Все приложения использовали простые способы сокрытия своего вредоносного поведения. Книга Make Tech Easier не собирается описывать методы, которые помогут кому-либо узнать, как обойти систему. Веб-сайт не называется Make Hacking Easier.
Но учтите, что информация доступна, поэтому Amazon и Google, безусловно, должны знать то же самое и сделать это сейчас, получив предупреждение от SRLabs. Они оба заявили, что меняют процедуру одобрения приложений, чтобы предотвратить это в будущем. Тем не менее, хакерам не нужно было предупреждать их об этом.
Изменит ли это ваше отношение к колонкам Alexa или Google Home или к их использованию? Расскажите нам, как это может повлиять на вас, в комментариях ниже.