Садржај

• Лозинке за крађу идентитета на Амазон Ецхо и Гоогле Хоме звучницима
• Прислушкивање корисника путем Амазон Ецхо и Гоогле Хоме звучника

Знали смо да Гоогле и Амазон слушају своје кориснике путем паметних звучника Ецхо и Хоме који се активирају гласом. Међутим, група сигурносних истраживача сада је демонстрирала како апликације трећих страна могу лако прислушкивати кориснике и информације осетљиве на гласовне пхисхе, као што су лозинке.

Истраживачи у Немачкој СРЛабс открили су два сценарија хаковања - прислушкивање и лажно представљање - и за Амазон Алека и за Гоогле Хоме / Нест уређаје. Направили су осам гласовних апликација (Вештине за Алека и Акције за Гоогле дом) како би демонстрирали хаке који ове паметне звучнике претварају у паметне шпијуне. Злонамјерне гласовне апликације које је створио СРЛабс лако су прошли кроз Амазонове и Гооглеове појединачне процесе скрининга.

Кориштени су различити приступи за прислушкивање корисника Амазон Алека и Гоогле Хоме и за лажно представљање информација од њих. Истраживачи су били у могућности да промене функционалност вештина и акција које су створили ради хаковања након што су Амазон и Гоогле одобрили апликације. Није било другог круга прегледа који су затражени након што су поменуте промене извршене.

Лозинке за крађу идентитета на Амазон Ецхо и Гоогле Хоме звучницима

У доњем видеу видите како корисници питају Алека да покрене вештину Ми Луцки Хоросцопе. Ово је злонамерна вештина Алека коју је СРЛабс креирао и модификовао да би лажно представљао лозинке.

Апликација не поздравља и уместо тога одговара: „Ова вештина тренутно није доступна у вашој земљи.“ У овом тренутку корисник би претпоставио да је апликација престала да слуша, али заиста није. Уместо тога, хакирана је вештина да изговори низ знакова које Алека не може изговорити, па говорник ћути када је заправо паузиран и слуша.

Вјештина затим игра фишинг говорећи: „Ново ажурирање је доступно за ваш Алека уређај. Молим вас, реците да започнете са лозинком. “Иако Амазон никада не тражи лозинке на овај начин, корисници који нису свесни могу бити ухваћени.

Сличан приступ кориштен је за лозинке за крађу идентитета на Гоогле Хоме Мини звучнику.

Прислушкивање корисника путем Амазон Ецхо и Гоогле Хоме звучника

За прислушкивање, истраживачи су користили исту апликацију за хороскоп за Амазонов паметни звучник. Апликација вара корисника у уверењу да је заустављен док тихо слуша у позадини.

За Гоогле Хоме, хак је био још лакши и није било потребе да се наводе речи окидача да би се прислушкивао. Истраживачи напомињу да је у овом случају корисник стављен у петљу јер "уређај непрестано шаље гласовне уносе хакеровом серверу, а између тога емитује кратке тишине".

СРЛабс је скинуо све апликације које су приказане у горе приказаним видео записима. Истраживачи су такође пријавили своја открића Амазону и Гооглеу.

По Арс Тецхница, обе компаније су одговориле рекавши да мењају своје поступке одобравања и усвајају додатне механизме да би избегле такве хаке у будућности.

Међутим, не постоје ажурирања од стране Амазона или Гооглеа до времена када ће се ти проблеми решити. Такође се не може знати да ли је вештина или акција злоупотребљавала ове рупе у прошлости.