Gli hacker possono abuso di Amazon Alexa e Google Home smart assistenti di ascoltare le conversazioni degli utenti senza che gli utenti la conoscenza o ingannare gli utenti al fine di sottrarre informazioni sensibili.
Gli attacchi non sono tecnicamente nuovo. I ricercatori di sicurezza hanno trovato in precedenza simile phishing e le intercettazioni dei vettori di impatto Amazon Alexa nell’aprile 2018; Alexa e Google dispositivi di Casa nel Maggio 2018; e, ancora, Alexa dispositivi in agosto 2018.
Amazon e Google hanno distribuito contromisure ogni volta, ma nuovi modi di sfruttare smart assistenti hanno continuato a superficie.
Quelli più recenti sono stati resi noti oggi, dopo essere stato identificato all’inizio di quest’anno da Luise Frerichs e Fabian Bräunlein, due ricercatori di sicurezza di Sicurezza in Laboratori di Ricerca (SRLabs), che hanno condiviso le loro scoperte con ZDNet la scorsa settimana.
Sia il phishing e le intercettazioni dei vettori sono sfruttabili tramite il backend che Amazon e Google per gli sviluppatori di Alexa o di Casa Google app personalizzate.
Questi sistemi forniscono l’accesso alle funzioni che gli sviluppatori possono utilizzare per personalizzare i comandi di che una smart assistant risponde, e il modo in cui l’assistente risponde.
Il SRLabs team ha scoperto che aggiungendo il “�. “(U+D801, punto, spazio) sequenza di caratteri in varie posizioni all’interno del backend di un normale Alexa/di Casa Google app, che potrebbe indurre lunghi periodi di silenzio, durante il quale l’assistente rimane attivo.
Phishing dati personali
I due demo incorporato qui di seguito mostra come un utente malintenzionato potrebbe eseguire un attacco di phishing su entrambi i dispositivi.
L’idea è quella di raccontare l’utente che un’app non è riuscito, inserire il “�. ” per indurre una lunga pausa, e quindi richiedere all’utente con il messaggio di phishing, dopo pochi minuti, ingannando il target a credere che il messaggio di phishing ha nulla a che fare con la precedente app con cui hanno interagito solo.
Per esempio, nel video qui sotto, un oroscopo app genera un errore, ma poi rimane attivo, e, infine, chiede all’utente di Amazon/password di Google, mentre fingere un messaggio di aggiornamento da Amazon/Google stessa.
Notare nel primo video come Alexa di stato blu della luce rimane attivo e non si spegne mai, un chiaro indicatore che la precedente app è ancora attiva e intensa interpretazione di una lunga serie di “�. ” sequenze di caratteri.
L’intercettazione di ignari utenti
Il “�. ” può anche essere usato in modo simile per l’intercettazione di attacchi. Tuttavia, questa volta, la sequenza di caratteri viene utilizzato dopo l’applicazione maligno ha risposto ad un comando dell’utente.
La sequenza di caratteri viene utilizzato per tenere il dispositivo attivo e registrare un utente conversazione, che viene registrato nel log, e inviato a un utente malintenzionato di server per l’elaborazione.
Entrambi questi attacchi di sfruttare il fatto che, mentre Amazon e Google a verificare la formazione professionale e Alexa di Casa Google apps quando sono presentati, non fare lo stesso per i successivi aggiornamenti delle app.
In una e-mail a ZDNet, il SRLabs squadra ha detto hanno segnalato il problema sia venditori all’inizio di quest’anno, ma le aziende non sono riusciti a risolvere il problema.
“La ricerca e il divieto di comportamenti imprevisti, come ad esempio lunghe pause dovrebbe essere relativamente semplice in avanti,” il SRLabs team detto a ZDNet. “Siamo sorpresi che questo non è accaduto, poiché segnalato la vulnerabilità di alcuni mesi fa.”
Amazon non ha risposto a una richiesta di commento da ZDNet prima della pubblicazione di questo articolo.
Un portavoce di Google ha fornito il seguente messaggio:
“Tutte le Azioni di Google sono tenuti a seguire il nostro sviluppatore politiche, e proibiamo e rimuovere qualsiasi Azione che violi queste politiche. Abbiamo procedure di revisione per rilevare il tipo di comportamento descritto in questo report, e abbiamo rimosso le Azioni che abbiamo trovato da questi ricercatori. Stiamo mettendo ulteriori meccanismi per evitare che questi problemi si verifichino in futuro.”
Anche Google ha voluto Home assistente proprietari di sapere che il loro dispositivo non verrà mai a chiedere la password dell’account.
Articolo aggiornato con il commento da parte di Google, in 3:00 pm ET, 20 ottobre.
Sicurezza
File audio WAV sono ora utilizzati per nascondere il codice dannoso
Edificio Cinese Comac C919 aereo coinvolto un sacco di hacking, rapporto dice
Phorpiex botnet fatto $115.000 in cinque mesi da massa-spamming sextortion e-mail
Nuovo Apple iPhone privacy funzione consente di vedere quali applicazioni traccia (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come proteggere con password un file zip in Linux (TechRepublic)
Argomenti Correlati:
Amazon
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati