Content
- Contrasenyes de phishing de veu a altaveus d'Amazon Echo i Google Home
- Retractar els usuaris mitjançant altaveus d'Amazon Echo i Google Home
Sabíem que Google i Amazon escoltaven als seus usuaris mitjançant els seus altaveus intel·ligents Echo i Home activats per veu. Tot i això, un grup d’investigadors en seguretat ara han demostrat com les aplicacions de tercers poden escoltar fàcilment els usuaris i la informació sensible a la veu del phish com les contrasenyes.
Els investigadors de SRLabs a Alemanya van trobar dos escenaris de pirateria (escorcolls i phishing) tant per a dispositius d'Amazon Alexa com de Google Home / Nest. Van crear vuit aplicacions de veu (Habilitats per a Alexa i Accions per a Google Home) per demostrar els hacks que converteixen aquests altaveus intel·ligents en espies intel·ligents. Les aplicacions de veu malicioses creades per SRLabs passaven fàcilment per Amazon i els processos de cribratge individuals de Google.
S'han utilitzat diferents enfocaments per esbrinar els usuaris d'Amazon Alexa i Google Home i per obtenir informació sobre aquests. Els investigadors van poder canviar la funcionalitat de les habilitats i accions que van crear per al pirateig després que Amazon i Google aprovessin les aplicacions. No es va sol·licitar la segona ronda de revisions després dels canvis esmentats.
Contrasenyes de phishing de veu a altaveus d'Amazon Echo i Google Home
Al vídeo següent, veieu com els usuaris demanen a Alexa que comenci una habilitat anomenada My Lucky Horoscope. Aquesta és una habilitat maliciosa d'Alexa creada i modificada per SRLabs per phish per contrasenyes.
L'aplicació no dóna cap benvinguda i, en canvi, respon dient: "Actualment aquesta habilitat no està disponible al vostre país". En aquest moment, un usuari suposaria que l'aplicació ha deixat d'escoltar, però realment no ho és. En lloc d'això, s'ha pirat l'habilitat per dir una seqüència de caràcters que Alexa no pot pronunciar, per tant, l'orador continua en silenci quan realment es posa en pausa i en escolta.
L'habilitat reprodueix una dita de phishing: "Hi ha una nova actualització disponible per al dispositiu Alexa. Si us plau, digueu que seguiu la vostra contrasenya ". Si bé Amazon no sol·licita contrasenyes d'aquesta manera, els usuaris que no se'n saben poden quedar protegits.
S'ha utilitzat un enfocament similar per a contrasenyes de pesca de veu en un altaveu de Google Home Mini.
Retractar els usuaris mitjançant altaveus d'Amazon Echo i Google Home
Per a la presa de fons, els investigadors van utilitzar la mateixa aplicació horòscop per a altaveus intel·ligents d'Amazon. L'aplicació enganya l'usuari a creure que s'ha aturat mentre escolta en segon pla en silenci.
Per a Google Home, el pirateig era encara més senzill i no calia especificar les paraules desencadenants per a escriure. Els investigadors assenyalen que, en aquest cas, l'usuari es posa en un bucle, ja que "el dispositiu envia constantment entrades de veu al servidor del pirata informàtic mentre emet silencis breus pel mig".
SRLabs ha tret totes les aplicacions que es demostren als vídeos mostrats anteriorment. Els investigadors també van informar de les seves troballes a Amazon i Google.
Segons Ars Technica, ambdues empreses van respondre dient que canvien els seus processos d’aprovació i adopten mecanismes addicionals per evitar aquest tipus d’atacs en el futur.
Tanmateix, no hi ha cap actualització d'Amazon o de Google per dir quan es resolran aquests problemes. Tampoc hi ha manera de saber si una habilitat o una acció feia servir malament aquestes llacunes en el passat.
