Nilalaman
- Ang mga password sa boses sa phishing sa Amazon Echo at mga nagsasalita ng Google Home
- Pagbubuhos ng mga gumagamit sa pamamagitan ng Amazon Echo at mga nagsasalita ng Google Home
Alam namin na pinakinggan ng Google at Amazon ang kanilang mga gumagamit sa pamamagitan ng kanilang mga boses na aktibo sa boses na Echo at Home matalino. Gayunpaman, ipinakita ngayon ng isang pangkat ng mga mananaliksik ng seguridad kung paano ang mga third-party na app ay madaling makapag-agham sa mga gumagamit at mga impormasyong sensitibo sa boses tulad ng mga password.
Natagpuan ng mga mananaliksik sa SRLabs ng Alemanya ang dalawang mga sitwasyon sa pag-hack - ang pag-eaves at phishing - para sa parehong mga aparato sa Amazon Alexa at Google Home / Nest. Lumikha sila ng walong boses na apps (Mga Kasanayan para sa Alexa at Mga Aksyon para sa Google Home) upang ipakita ang mga hack na nagiging matalinong mga tiktik na ito. Ang mga nakakahamak na boses na apps na nilikha ng SRLabs ay madaling dumaan sa mga proseso ng pag-screening ng Amazon at mga indibidwal.
Iba't ibang mga diskarte ang ginamit upang mag-eavesdrop sa Amazon Alexa at mga gumagamit ng Google Home at upang mai-phish ang impormasyon mula sa kanila. Ang mga mananaliksik ay nagawang baguhin ang pag-andar ng mga kasanayan at Mga Pagkilos na nilikha nila para sa pag-hack matapos na aprubahan ng Amazon at Google ang mga app. Walang pangalawang pag-ikot ng mga review na sinenyasan matapos ang mga nasabing pagbabago ay ginawa.
Ang mga password sa boses sa phishing sa Amazon Echo at mga nagsasalita ng Google Home
Sa video sa ibaba, nakikita mo kung paano hiniling ng mga gumagamit si Alexa na magsimula ng isang kasanayan na tinawag na My Lucky Horoscope. Ito ay isang nakakahamak na kasanayan sa Alexa na nilikha at binago ng SRLabs upang phish para sa mga password.
Ang app ay hindi nagbibigay ng isang maligayang pagdating at sa halip, sumasagot na nagsasabing, "Ang kasanayang ito ay hindi magagamit sa iyong bansa." Sa puntong ito, ipalagay ng isang gumagamit ang app ay tumigil sa pakikinig, ngunit wala talaga ito. Sa halip, ang kasanayan ay na-hack upang sabihin ang isang pagkakasunod-sunod ng character na hindi masasabi ni Alexa, kaya't mananahimik ang nagsasalita kapag ito ay tumahimik at nakikinig.
Ang kasanayan pagkatapos ay gumaganap ng isang phishing na sinasabi, "Ang isang bagong pag-update ay magagamit para sa iyong aparato sa Alexa. Mangyaring sabihin na simulan ang sinusundan ng iyong password. "Habang ang Amazon ay hindi humihiling ng mga password sa paraang ito, ang mga gumagamit na hindi alam ay maaaring mabantayan.
Ang isang katulad na pamamaraan ay ginamit para sa mga voice-phishing password sa isang Google Home Mini speaker.
Pagbubuhos ng mga gumagamit sa pamamagitan ng Amazon Echo at mga nagsasalita ng Google Home
Para sa pag-aalis ng tubig, ginamit ng mga mananaliksik ang parehong horoscope app para sa matalino na tagapagsalita ng Amazon. Tinatalakay ng app ang gumagamit na naniniwala na ito ay tumigil habang tahimik itong nakikinig sa background.
Para sa Google Home, ang hack ay mas madali at hindi na kailangang tukuyin ang mga salita ng pag-trigger upang mag-eavesdrop. Pansinin ng mga mananaliksik na sa kasong ito, ang gumagamit ay inilalagay sa isang loop bilang "ang aparato ay patuloy na nagpapadala ng mga input ng boses sa server ng hacker habang nagpapalabas ng mga maikling pag-iingat sa pagitan."
Kinuha ng SRLabs ang lahat ng mga apps na na-demo sa itaas na ipinakita na mga video. Iniulat din ng mga mananaliksik ang kanilang mga natuklasan sa Amazon at Google.
Base sa Ars Technica, ang parehong mga kumpanya ay tumugon sa pamamagitan ng pagsasabi na binabago nila ang kanilang mga proseso sa pag-apruba at pag-ampon ng mga karagdagang mekanismo upang maiwasan ang mga naturang hack sa hinaharap.
Gayunpaman, walang pag-update mula sa alinman sa Amazon o Google na sasabihin kung kailan naayos ang mga isyung ito. Wala ring paraan ng pag-alam kung ang isang kasanayan o pagkilos ay nag-abuso sa mga loopholes na ito noong nakaraan.
