Innhold

• Passord for stemmefisking på Amazon Echo og Google Home-høyttalere
• Slipper til for brukere gjennom Amazon Echo og Google Home-høyttalere

Vi visste at Google og Amazon lytter til brukerne deres gjennom stemmeaktiverte Echo- og Home-smarte høyttalere. Imidlertid har en gruppe sikkerhetsforskere nå demonstrert hvordan tredjepartsapper lett kan avlyse brukere og stemme-phish sensitiv informasjon som passord.

Forskere ved Tysklands SRLabs fant to hacking-scenarier - avlytting og phishing - for både Amazon Alexa og Google Home / Nest-enheter. De opprettet åtte tale-apper (Kompetanse for Alexa og Handlinger for Google Hjem) for å demonstrere hackene som gjør disse smarte høyttalerne til smarte spioner. De ondsinnede stemmeappene opprettet av SRLabs passerte enkelt gjennom Amazon og Googles individuelle screeningsprosesser.

Ulike tilnærminger ble brukt for å avlyttes på Amazon Alexa og Google Home-brukere og for å phish informasjon fra dem. Forskerne klarte å endre funksjonaliteten til ferdighetene og handlingene de opprettet for hacking etter at Amazon og Google godkjente appene. Det ble ikke bedt om andre omgangsrunde etter at nevnte endringer ble gjort.

Passord for stemmefisking på Amazon Echo og Google Home-høyttalere

I videoen nedenfor ser du hvordan en bruker ber Alexa om å starte en ferdighet som heter My Lucky Horoscope. Dette er en ondsinnet Alexa-ferdighet som er opprettet og modifisert av SRLabs til phish for passord.

Appen gir ikke velkomst, og svarer i stedet og sier: "Denne ferdigheten er foreløpig ikke tilgjengelig i ditt land." På dette tidspunktet vil en bruker anta at appen har sluttet å lytte, men den har det egentlig ikke. I stedet er ferdigheten blitt hacket for å si en karaktersekvens som Alexa ikke kan uttale, og derfor holder høyttaleren seg stille når den faktisk er på pause og lytter.

Ferdigheten spiller deretter et phishing-ordtak: "En ny oppdatering er tilgjengelig for Alexa-enheten din. Vennligst si start, fulgt av passordet ditt. ”Selv om Amazon aldri ber om passord på denne måten, kan brukere som ikke er klar over bli fanget.

En lignende tilnærming ble brukt for passord for stemmefisking på en Google Home Mini-høyttaler.

Slipper til for brukere gjennom Amazon Echo og Google Home-høyttalere

For avlytting brukte forskerne den samme horoskopappen for Amazons smarthøyttaler. Appen lurer brukeren til å tro at den er stoppet mens den lydløst lytter i bakgrunnen.

For Google Home var hackingen enda enklere, og det var ikke behov for å spesifisere triggerord for å avlyse. Forskerne bemerker at i dette tilfellet blir brukeren satt i en sløyfe ettersom "enheten hele tiden sender stemmeinnganger til hackerens server mens han sender korte stillheter imellom."

SRLabs har tatt ned alle appene som er demoedet i videoene ovenfor. Forskerne rapporterte også om funnene sine til Amazon og Google.

Pr Ars Technica, begge selskapene svarte med å si at de endrer godkjenningsprosessene og tar i bruk ytterligere mekanismer for å unngå slike hacks i fremtiden.

Det er imidlertid ingen oppdateringer fra verken Amazon eller Google for å si fra når disse problemene vil bli løst. Det er heller ingen måte å vite om en ferdighet eller handling misbrukte disse smutthullene tidligere.