Умные дома оказалось легко прослушивать через бэкенд

Опубликовано at 20:31
66 0

Security Research Labs обнаружили способ легко и без лишних усилий прослушивать домашние беседы пользователей Amazon Alexa и Google Home

Для этого нужно всего лишь слегка покопаться в бэкенде, предоставляемом разработчикам приложений Alexa и Home.

Как обнаружили исследователи, путем добавления последовательности символов «U+D801, точка, пробел» (оно же �.) в различные места в бэкенде обычного приложения Alexa/Google Home можно вызвать продолжительные периоды молчания, в ходе которого голосовой помощник остается активным.

Эта брешь может использоваться для фишинга, замаскированного под обновление колонки (период молчания заставит жертву подумать, что идет процесс апдейта).

Та же последовательность символов позволяет устройству оставаться активным и записывать разговор в журнал, который затем отправляется на подконтрольный злоумышленникам сервер для обработки.

В тестовом режиме исследователи создали восемь приложений: четыре «навыка» (skills) для Alexa и четыре «действия» (actions) для Google Home. Все они прошли проверки безопасности Amazon и Google и маскировались под простые приложения для проверки гороскопов, за исключением одного приложения, замаскированного под генератор случайных чисел. На самом же деле эти приложения тайком подслушивали пользователей или пытались похитить их пароли.

Исследователи указали на корень проблемы: Amazon и Google изначально проверяют приложения для Alexa и Google Home, однако не проверяют их последующие обновления, в которые теоретически, таким образом, можно загрузить что угодно. Хотя эксперты SRLabs пишут, что уведомили обоих производителей о проблемах еще в начале текущего года, те ничего не предприняли вплоть до выхода в октябре публикации об уязвимости.

Читайте также на АКБ:

Умный дом оказался уязвимым и глупеньким в мелочах

Хакеры превратили умный дом в баню с непристойными песнями

Спалить умный дом дотла легко и просто: спасибо выпрямителю для волос!

Подписываемся, следим @CyberAgency

Related Post

Mist, самый популярный эфирный браузер, может угрожать конфиденциальности ключей, сообщается в блоге Ethereum Foundation

Опубликовано - 18.12.2017 0
Угроза возникает из-за недавно обнаруженной уязвимости, которую можно классифицировать как «высокую степень серьезности» и которая влияет на все существующие версии…

Наркоторговцы уходят из Tor в I2P

Опубликовано - 31.05.2019 0
Преступники из даркнета, наркоторговцы, продавцы оружия, фальшивых документов и чужих кредиток (нередко в одном лице) – вот, кто находится в…