Security Research Labs обнаружили способ легко и без лишних усилий прослушивать домашние беседы пользователей Amazon Alexa и Google Home
Для этого нужно всего лишь слегка покопаться в бэкенде, предоставляемом разработчикам приложений Alexa и Home.
Как обнаружили исследователи, путем добавления последовательности символов «U+D801, точка, пробел» (оно же �.) в различные места в бэкенде обычного приложения Alexa/Google Home можно вызвать продолжительные периоды молчания, в ходе которого голосовой помощник остается активным.
Эта брешь может использоваться для фишинга, замаскированного под обновление колонки (период молчания заставит жертву подумать, что идет процесс апдейта).
Та же последовательность символов позволяет устройству оставаться активным и записывать разговор в журнал, который затем отправляется на подконтрольный злоумышленникам сервер для обработки.
В тестовом режиме исследователи создали восемь приложений: четыре «навыка» (skills) для Alexa и четыре «действия» (actions) для Google Home. Все они прошли проверки безопасности Amazon и Google и маскировались под простые приложения для проверки гороскопов, за исключением одного приложения, замаскированного под генератор случайных чисел. На самом же деле эти приложения тайком подслушивали пользователей или пытались похитить их пароли.
Исследователи указали на корень проблемы: Amazon и Google изначально проверяют приложения для Alexa и Google Home, однако не проверяют их последующие обновления, в которые теоретически, таким образом, можно загрузить что угодно. Хотя эксперты SRLabs пишут, что уведомили обоих производителей о проблемах еще в начале текущего года, те ничего не предприняли вплоть до выхода в октябре публикации об уязвимости.
Читайте также на АКБ:
Умный дом оказался уязвимым и глупеньким в мелочах
Хакеры превратили умный дом в баню с непристойными песнями
Спалить умный дом дотла легко и просто: спасибо выпрямителю для волос!
