| 21 октября 2019 г. — 4:56 PT
С весны прошлого года известно, что колонки Amazon Alexa и Google Home могут подслушивать своих владельцев и даже фишинговать их через голос. Однако новые исследования показывают, что обе компании продолжают одобрять новые вредоносные приложения с такими возможностями.
Две уязвимости, продемонстрированные в видео ниже, возникают потому, что обе компании делают свои колонки умнее, позволяя сторонним разработчикам создавать для них приложения или «навыки». HomePod от Apple безопасен, поскольку компания не разрешает такой тип доступа третьих лиц…
ZDNet сообщает о последних примерах.
Каждый раз Amazon и Google внедряли контрмеры, но все равно продолжали появляться новые способы эксплуатации умных помощников.
Последние были раскрыты сегодня после того, как в начале этого года их обнаружили Луизе Фрерихс и Фабиан Бройнляйн, два исследователя безопасности из Security Research Labs (SRLabs), которые на прошлой неделе поделились своими выводами с ZDNet.
Векторы фишинга и подслушивания могут быть использованы через серверную часть, которую Amazon и Google предоставляют разработчикам пользовательских приложений Alexa или Google Home.
Эти серверные части обеспечивают доступ к функциям, которые разработчики могут использовать для настройки команд, на которые реагирует умный помощник, и способа ответа помощника.
Сторонние приложения должны работать таким образом, что микрофоны активны лишь короткое время после того, как умная колонка задаст пользователю вопрос. Например, если я скажу Alexa, чтобы она попросила мое приложение супермаркета добавить что-то в корзину, приложение проверит мою историю заказов на точные детали продукта, затем Alexa сообщит мне, что она нашла, и спросит, подтверждаю ли я это. Затем она активирует микрофон Echo Dot на короткое время, ожидая моего ответа «да» или «нет». Если я не отвечу в течение нескольких секунд, микрофон снова выключится.
Однако вредоносные приложения могут оставлять микрофон активным — и записывать все, что слышит — гораздо дольше. Это достигается за счет использования специальной строки, которая создает длительную паузу после вопроса или подтверждения, при этом микрофон остается включенным.
Строка «�. » также может быть использована […] для атак с целью подслушивания. Однако в этот раз последовательность символов используется после того, как вредоносное приложение отреагировало на команду пользователя.
Последовательность символов используется для поддержания активности устройства и записи разговора пользователя, который затем заносится в журналы и отправляется на сервер злоумышленника для обработки.
Таким образом, умные колонки могут подслушивать все, что говорится, пока микрофон включен.
Альтернативно, длинную паузу можно использовать, чтобы владелец думал, что он больше не взаимодействует с приложением. В этот момент может быть предпринята попытка фишинга.
Идея состоит в том, чтобы сообщить пользователю, что приложение не сработало, вставить «�. », чтобы вызвать длительную паузу, а затем через несколько минут предложить пользователю фишинговое сообщение, вводя жертву в заблуждение, заставляя ее думать, что фишинговое сообщение не имеет отношения к предыдущему приложению, с которым она только что взаимодействовала.
Например, в приведенных ниже видео приложение гороскопа выдает ошибку, но затем остается активным и в конечном итоге запрашивает у пользователя пароль Amazon/Google, имитируя сообщение об обновлении от самого Amazon/Google.
Этот тип атаки был бы невозможен на HomePod, поскольку единственным способом взаимодействия стороннего приложения с Siri является через собственные API Apple. Приложения не имеют прямого доступа.
Посмотрите демонстрационные видео ниже.