22.10.2019

Умные колонки от Amazon и Google: больше пользы или рисков?

Вместе с ростом их функциональности, появились риски взлома и кражи данных, сообщает Security Research Labs

 

Специалисты из немецкой компании Security Research Labs в своём исследовании сообщили, что Alexa и Google Home могут быть взломаны с помощью сторонних приложений, причем компании не могут устранить уязвимость уже несколько месяцев.
.
Прослушкой пользователей могут заниматься приложения для проверки гороскопов, генераторы случайных чисел и др. Исследователи из SRLabs для наглядности создали несколько приложений, на которых и продемонстрировали уязвимости умных колонок. В целом, уязвимости связаны с тем, что Amazon и Google, предоставляют свои бэкенды сторонним разработчикам приложений, и у тех появляется доступ к функциям по настройке команд голосового помощника и его ответов.
.
Суть мошенничества заключается в том, что система продолжает записывать голос пользователя после того, как подаёт сигнал об окончании общения. Таким образом, несанкционированная запись голоса может длиться от 30 секунд до минуты и все записанные слова, преобразованные в текст, будут переданы злоумышленникам. Чтобы это осуществить, мошенники могут добавить в приложение последовательность «�. » (U+D801, точка, пробел), после чего оно будет делать длительные паузы, во время которых будет записывать голос, несмотря на то, что пользователь думает, что оно отключилось.
.
Исследователи нашли две лазейки: фишинг и простая прослушка.
.
Фишинг
.
На видео ниже показано, как исследовательница спрашивает у умной колонки прогноз своего гороскопа. После ответа колонки о том, что такая функция пока не доступна в её стране, приложение не отключается, а ждет минуту и сообщает, что вышло «новое обновление» и пользовательнице нужно ввести свой пароль. Это и есть кража данных — ни Google ни Amazon никогда не будут спрашивать у вас пароль через умную колонку.
.
Пример с Alexa:
.

.
Пример с Google Home:
.

.
Простая прослушка
.
Это второй, более простой трюк, который могут проделывать злоумышленники с умной колонкой. Точно также после слов «Стоп, Алекса», голосовой помощник прощается с пользователем, но на деле продолжает записывать её голос.
.
Пример с Alexa:
.

.
Пример с Google. Опять голосовой помощник попрощался, но продолжает записывать:
.

.
После того, как отчёт экспертов был обнародован, и происходящим заинтересовались СМИ, компании удалили вредоносные приложения и сообщили, что приняли необходимые меры и намерены пересмотреть процессы утверждения «навыков» и «действий», чтобы подобное более не повторялось.
.
В Google и Amazon также напомнили, что их устройства никогда не должны запрашивать у пользователей пароли от учетной записи.

.
don but rks

.

bancam.ru hor

.

Яндекс.Метрика
Переключиться на старую версию