Hackere kan misbruge Amazon Alexa og Google Startside smart assistenter til at aflytte bruger samtaler uden brugernes viden, eller narre brugere til at udlevere følsomme oplysninger.
Angrebene er teknisk set ikke ny. Sikkerhed forskere har tidligere fundet lignende phishing og aflytning vektorer, der påvirker Amazon Alexa i April 2018; Alexa og Google Hjem udstyr i Maj 2018, og igen Alexa enheder i August 2018.
Både Amazon og Google har implementeret modforanstaltninger hver gang, men nyere måder at udnytte smart assistenter har fortsat op til overfladen.
De seneste dem blev offentliggjort i dag, efter at være blevet identificeret tidligere i år af Luise Frerichs og Fabian Bräunlein, to sikkerhedspolitiske forskere på Security Research Labs (SRLabs), der delte deres erfaringer med ZDNet i sidste uge.
Både phishing og aflytning angrebsvinkler, der er brugbare via backend, at Amazon og Google leverer til udviklere af Alexa eller Google Startside brugerdefinerede apps.
Disse motorer giver adgang til funktioner, som udviklere kan bruge til at tilpasse kommandoer, som en smart assistant reagerer på, og hvordan assistent svar.
Den SRLabs hold har opdaget, at ved at tilføje “�. “(U+D801, punktum, mellemrum) tegnsekvens til forskellige steder inde i backend af en normal Alexa/Google Startside app, de kan fremkalde lange perioder med stilhed, i hvilken assistent forbliver aktiv.
Phishing-personlige data
De to demoer indlejret nedenfor viser, hvordan en hacker kunne udføre et phishing-angreb på begge enheder.
Ideen er at fortælle brugeren, at en app har svigtet, skal du indsætte “�. ” for at fremkalde en lang pause, og derefter beder brugeren med phishing-meddelelse, efter et par minutter, at lokke målgruppen til at tro, phishing-meddelelsen, har intet at gøre med den tidligere app, som de bare har interageret.
For eksempel, i videoer nedenfor, et horoskop app, der udløser en fejl, men forbliver så aktiv, og til sidst beder brugeren om Amazon/Google-adgangskode, mens faking en opdatering besked fra Amazon/Google selv.
Bemærk i den første video, hvordan Alexa blå status lyset forbliver aktiv, og aldrig slukker, en klar indikator for, at den app er stadig aktiv og travl fortolke en lang seriesof “�. ” karakter sekvenser.
Aflytning på intetanende brugere
Den “�. ” kan også bruges på en lignende måde til aflytning angreb. Dog, denne gang, tegnet sekvens bruges efter den ondsindede app har reageret på en brugers kommando.
Karakter sekvens bruges til at holde enheden aktiv og registrere en brugers samtale, som er optaget i logfiler, og sendt til hackerens server for bearbejdning.
Begge disse angreb udnytte det faktum, at mens Amazon og Google med at bekræfte og eud Alexa og Google Startside apps, når de er sendt, kan de ikke gøre det samme for efterfølgende app-opdateringer.
I en e-mail til ZDNet, den SRLabs holdet, sagde, at de rapporterede problem, at både sælgere, der tidligere i år, men de virksomheder, der har undladt at løse problemet.
“At finde og forbud mod uventede adfærd, såsom lange pauser bør være relativt ligetil,” den SRLabs team fortalte ZDNet. “Vi er overrasket over, at dette ikke er sket, da der rapporterer sårbarheder flere måneder siden.”
Amazon har ikke reageret på en anmodning om kommentar fra ZDNet forud for denne artikels offentliggørelse.
En Google-talsmand, hvis følgende meddelelse:
“Alle Handlinger på Google er forpligtet til at følge vores udvikler politikker, og vi forbyde og fjerne enhver Handling, der overtræder disse politikker. Vi har review-processer til at afsløre den type adfærd, der beskrives i denne rapport, og vi har fjernet de Handlinger, som vi har fundet fra disse forskere. Vi sætter yderligere mekanismer på plads til at forhindre, at disse problemer opstår i fremtiden.”
Google ville også gerne Hjem assistent ejere at vide, at deres enhed vil aldrig bede dem om adgangskoden til kontoen.
Artikel opdateret med kommentar fra Google på 3:00 ET, 20 oktober.
Sikkerhed
WAV-lydfiler er nu bruges til at skjule ondsindet kode
Opbygning af Kinas Comac C919 fly involveret en masse af hacking, siger rapporten
Phorpiex botnet gjort $115,000 i fem måneder, lige fra masse-spam e-mails sextortion
Apple ‘ s nye iPhone privatliv funktion kan du se, hvilke apps du styr (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
Hvordan at password beskytte en zip-fil i Linux (TechRepublic)
Relaterede Emner:
Amazon
Sikkerhed-TV
Data Management
CXO
Datacentre