Kandungan

• Kata laluan pancingan suara suara di Amazon Echo dan penceramah Google Home
• Eavesdropping pada pengguna melalui Amazon Echo dan penceramah Google Home

Kami tahu Google dan Amazon mendengar pengguna mereka melalui pembesar suara pintar Echo dan Home yang diaktifkan suara mereka. Walau bagaimanapun, sekumpulan penyelidik keselamatan kini telah menunjukkan bagaimana aplikasi pihak ketiga boleh mendengar dengan mudah pada pengguna dan maklumat sensitif suara seperti kata laluan.

Penyelidik di SRLab Jerman telah menemui dua senario penggodaman - mengimbas dan memancarkan - untuk kedua-dua peranti Amazon Alexa dan Google Home / Sarang. Mereka mencipta lapan aplikasi suara (Kemahiran untuk Alexa dan Tindakan untuk Rumah Google) untuk menunjukkan hacks yang menjadikan penceramah pintar ini menjadi mata-mata pintar. Aplikasi suara berniat jahat yang dibuat oleh SRLab dengan mudah melalui Amazon dan proses pemeriksaan individu Google.

Pendekatan yang berbeza digunakan untuk menguping pengguna Amazon Alexa dan Google Home dan maklumat phish dari mereka. Para penyelidik mampu mengubah fungsi kemahiran dan Tindakan yang mereka buat untuk menggodam selepas Amazon dan Google meluluskan aplikasi. Tidak ada tinjauan pusingan kedua yang diminta selepas perubahan tersebut dibuat.

Kata laluan pancingan suara suara di Amazon Echo dan penceramah Google Home

Dalam video di bawah, anda melihat bagaimana pengguna meminta Alexa untuk memulakan kemahiran bernama My Lucky Horoscope. Ini adalah kemahiran alexa yang dicipta dan diubahsuai oleh SRLabs untuk phish untuk kata laluan.

Aplikasi ini tidak mengalu-alukan dan sebaliknya, balasan berkata, "Kemahiran ini tidak tersedia di negara anda." Pada ketika ini, pengguna akan menganggap apl itu telah berhenti mendengar, tetapi ia tidak benar. Sebaliknya, kemahiran itu telah digodam untuk menyatakan urutan karakter yang Alexa tidak dapat disebutkan, oleh itu pembesar suara tetap diam ketika sebenarnya dijeda dan didengar.

Kemahiran itu kemudiannya memancarkan phishing, "Kemas kini baru boleh didapati untuk peranti Alexa anda. Sila nyatakan diikuti dengan kata laluan anda. "Walaupun Amazon tidak pernah meminta kata laluan dengan cara ini, pengguna yang tidak menyedari dapat ditangkap.

Pendekatan serupa digunakan untuk kata laluan suara-phishing pada pembesar suara Google Home Mini.

Eavesdropping pada pengguna melalui Amazon Echo dan penceramah Google Home

Untuk menguping, penyelidik menggunakan aplikasi horoskop yang sama untuk penceramah pintar Amazon. Aplikasi ini menipu pengguna untuk mempercayai bahawa ia telah dihentikan sementara diam-diam mendengarkan di latar belakang.

Untuk Google Home, peretasan itu lebih mudah dan tidak ada keperluan untuk menentukan kata-kata pemicu untuk mendengarkan. Para penyelidik mencatatkan bahawa dalam kes ini, pengguna dimasukkan ke dalam gelung sebagai "peranti sentiasa menghantar input suara ke pelayan penggodam sambil mengeluarkan senyap pendek di antara."

SRLab telah menurunkan semua aplikasi yang ditunjukkan dalam video yang dipaparkan di atas. Para penyelidik juga melaporkan penemuan mereka kepada Amazon dan Google.

Seperti per Ars Technica, kedua-dua syarikat bertindak balas dengan mengatakan bahawa mereka sedang mengubah proses kelulusan mereka dan mengamalkan mekanisme tambahan untuk mengelakkan hacks tersebut pada masa akan datang.

Walau bagaimanapun, tiada kemas kini dari Amazon atau Google untuk mengatakan apabila isu ini akan diperbetulkan. Tidak ada cara untuk mengetahui sama ada kemahiran atau tindakan menyalahgunakan kelemahan ini pada masa lalu.