Hackare kan missbruka Amazon Alexa och Googles Startsida smarta hjälpmedel för att tjuvlyssna på användarens samtal utan användarens kännedom, eller lura användare till att lämna över känslig information.
De attackerna är inte tekniskt nytt. Säkerhet forskare har tidigare funnit liknande phishing och avlyssning vektorer som påverkar Amazon Alexa i April 2018; Alexa och Google-Hem-enheter i Maj 2018, och igen Alexa-enheter i augusti 2018.
Både Amazon och Google har satt in motåtgärder för varje gång, men nyare sätt att utnyttja smarta assistenter har fortsatt till ytan.
De senaste avslöjas i dag, efter att ha identifierat tidigare i år av Luise Frerichs och Fabian Bräunlein, två säkerhetsforskare på Security Research Labs (SRLabs), som delade med sig av sina resultat med ZDNet förra veckan.
Både phishing och avlyssning vektorer kan utnyttjas via backend som Amazon och Google ger utvecklare av Alexa eller Google Hem anpassade appar.
Dessa gränssnitt ger tillgång till funktioner som utvecklare kan använda för att anpassa kommandon som en smart assistent svarar, och hur assistent svar.
Den SRLabs team upptäckte att genom att lägga till “�. “(U+D801, dot, utrymme) tecken till olika platser inne i backend på en normal Alexa/Google Hem appen, de skulle kunna leda till långa perioder av tystnad under vilken assistent är fortfarande aktiv.
Phishing personuppgifter
De två demos inbäddad nedan visar hur en angripare skulle kunna genomföra en phishing-attack på båda enheterna.
Tanken är att tala om för användaren att en app har misslyckats sätter “�. ” för att förmå en lång paus, och sedan att uppmana användaren med phishing-meddelande efter ett par minuter, att lura målet att tro på phishing-meddelande har ingenting att göra med den tidigare app med vilken de bara umgicks.
Till exempel, i videoklippen nedan, ett horoskop-app utlöser ett fel, men då är fortfarande aktiva, och så småningom ber användaren för sin Amazon/Google-lösenord medan fejka en uppdatering budskapet från Amazon/Google själva.
Att märka i den första videon hur Alexa blå status-lampan är fortfarande aktiv och aldrig slocknar, en tydlig indikator på att den tidigare appen är fortfarande aktiv och upptagen för att tolka en lång seriesof “�. ” teckensekvenser.
Avlyssning på intet ont anande användare
Den “�. ” kan också användas på ett liknande sätt för avlyssning angrepp. Men den här gången, de tecken som används efter skadlig app har svarat på en användarens kommando.
De tecken som används för att hålla enheten på ett aktivt och spela in en användares samtal, vilket är inspelade i loggar, och skickas till en angripare servrar för bearbetning.
Båda dessa attacker utnyttja det faktum att medan Amazon och Google kontrollera och vet Alexa och Hem Google apps när de lämnas in, det gör de inte göra samma sak för efterföljande uppdateringar app.
I ett e-postmeddelande till ZDNet den SRLabs laget sa de rapporterade problemet att både säljare tidigare i år, men de företag som har underlåtit att ta itu med problemet.
“Hitta och förbud mot oväntade beteende såsom långa pauser bör vara relativt okomplicerade,” den SRLabs team berättade ZDNet. “Vi är förvånade över att detta inte har hänt sedan rapporteringen sårbarheter för flera månader sedan.”
Amazon inte svara på en begäran om kommentar från ZDNet innan denna artikel publicerades.
En av Googles talesperson lämnat följande meddelande:
“Alla Åtgärder på Google krävs för att följa våra utvecklare politik, och vi förbjuda och ta bort någon Åtgärd som strider mot dessa riktlinjer. Vi har review processer för att upptäcka den typ av beteende som beskrivs i denna rapport, och vi tog bort de Åtgärder som vi hittat från dessa forskare. Vi lägger ytterligare mekanismer för att förhindra att dessa problem från att uppstå i framtiden.”
Google ville också Hem assistent ägare att veta att deras produkt kommer aldrig att be dem om lösenordet för kontot.
Artikeln uppdaterad med kommentar från Google på 3:00 pm ET, den 20 oktober.
Säkerhet
WAV-filer är nu används för att dölja skadlig kod
Byggnaden Kinas Comac C919 flygplan innebar en hel del dataintrång, säger rapporten
Phorpiex botnet gjort 115 000 dollar i fem månader bara från massa-spam sextortion e-post
Apples nya iPhone privacy-funktion kan du se vilka appar spår som du (ZDNet YouTube)
Bästa home security av 2019: Professionell övervakning och DIY (CNET)
Hur lösenordsskydda en zip-fil i Linux (TechRepublic)
Relaterade Ämnen:
Amazon
Säkerhet-TV
Hantering Av Data
CXO
Datacenter