Hackers misbruik kunnen maken van Amazon Alexa en Google Startpagina smart assistenten af te luisteren gesprekken gebruiker zonder dat de gebruiker de kennis, of de gebruikers misleiden tot het overhandigen van gevoelige informatie.
De aanvallen zijn niet technisch nieuwe. Beveiliging onderzoekers hebben eerder gevonden vergelijkbare phishing en afluisteren vectoren invloed Amazon Alexa in April 2018; Alexa en Google Startpagina apparaten in Mei 2018; en weer Alexa apparaten in augustus 2018.
Zowel Amazon en Google hebben ingezet tegenmaatregelen elke keer, nog nieuwere manieren te exploiteren smart assistenten bleven aan de oppervlakte.
De laatsten werden bekendgemaakt vandaag, na te zijn geïdentificeerd eerder dit jaar door Luise Frerichs en Fabian Bräunlein, twee beveiligingsonderzoekers op Security Research Labs (SRLabs), die deelden hun bevindingen met ZDNet vorige week.
Zowel de phishing en afluisteren vectoren zijn beschikbaar via de backend dat Amazon en Google bieden aan ontwikkelaars van Alexa, Google of Home aangepaste apps.
Deze uitgang ondersteuning bieden toegang tot functies die ontwikkelaars kunnen gebruiken voor het aanpassen van de opdrachten die een slimme assistent reageert, en de manier waarop de assistent antwoorden.
De SRLabs team ontdekte dat door het toevoegen van het ” vullen. “(U+D801, dot, ruimte) teken reeks naar verschillende locaties in de backend van een normale Alexa/Google Home app, kunnen ze induceren een lange periode van stilte waarin de assistent actief blijft.
Phishing van persoonlijke gegevens
De twee demo ‘ s, embedded hieronder laten zien hoe een aanvaller kan het uitvoeren van een phishing-aanval op beide apparaten.
Het idee is om de gebruiker een app is mislukt, plaatst u de “vullen.” voor het opwekken van een lange pauze, en dan vraagt de gebruiker met de phishing-bericht na een paar minuten, het misleiden van het slachtoffer in het geloven van de phishing-bericht heeft niets te maken met de vorige app waarmee ze net gebruikte.
Bijvoorbeeld, in de video ‘ s hieronder een horoscoop app genereert een fout, maar dan blijft actief, en uiteindelijk vraagt de gebruiker om hun Amazone/Google wachtwoord tijdens het vervalsen van een update bericht van Amazon/Google zelf.
Merk op dat in de eerste video hoe Alexa ‘s licht blauw status actief blijft en nooit is gedoofd, een duidelijke indicatie dat de vorige app is nog steeds actief bezig met het interpreteren van een lange seriesof “vullen.” teken reeksen.
Afluisteren van nietsvermoedende gebruikers
Het “vullen.” kan ook worden gebruikt op een soortgelijke manier voor afluisteren aanvallen. Echter, deze tijd, is de teken reeks wordt gebruikt na de kwaadaardige app heeft gereageerd op van een gebruiker opdracht.
De teken reeks wordt gebruikt om het apparaat actief is, en het opnemen van een gebruiker gesprek, dat is vastgelegd in logboeken en verzonden naar een aanvaller de server voor verwerking.
Beide van deze aanvallen benutten van het feit dat, terwijl Amazon en Google controleren en beroepsonderwijs Alexa en Google Startpagina apps wanneer ze geplaatst zijn, zijn ze niet hetzelfde doen voor de volgende app-updates.
In een e-mail naar ZDNet, de SRLabs team zei zij meldde dat het probleem zowel leveranciers eerder dit jaar, maar de bedrijven hebben gefaald in het aanpakken van het probleem.
“Het vinden en een verbod op het onverwachte gedrag, zoals het lange pauzes moet worden relatief straight-forward,” de SRLabs team vertelde ZDNet. “We zijn verbaasd dat dit nog niet gebeurd is sinds de rapportage van de kwetsbaarheden van enkele maanden geleden.”
Amazon reageerde niet op een verzoek om commentaar van ZDNet voorafgaand aan de publicatie.
Een Google-woordvoerder, mits aan de volgende bericht:
“Alle Acties op Google zijn vereist voor het volgen van onze ontwikkelaar beleid, en we verbieden en verwijderen van ieder Optreden dat in strijd met dit beleid. We hebben een review processen op te sporen van het type probleem dat wordt beschreven in dit rapport, en we verwijderd van de Acties die we hebben gevonden van deze onderzoekers. We zetten extra mechanismen om te voorkomen dat deze problemen voorkomen in de toekomst.”
Google wilde ook Thuis assistent-eigenaren om te weten dat hun apparaat zal nooit vragen om het wachtwoord van de account.
Artikel bijgewerkt met de reactie van Google op 3:00 pm ET, 20 oktober.
Veiligheid
WAV audio bestanden worden nu gebruikt voor het verbergen van kwaadwillende code
Gebouw chinese Comac C919 vliegtuig ging om een stuk van hacking, rapport zegt
Phorpiex botnet dollar van 115.000 in vijf maanden slechts van massa-spam e-mails sextortion
Apple ‘ s nieuwe iPhone privacy-functie kunt u zien welke apps u volgen (ZDNet YouTube)
Beste home security 2019: Professionele monitoring en DIY (CNET)
Hoe te beveiligen met een wachtwoord een zip-bestand in Linux (TechRepublic)
Verwante Onderwerpen:
Amazon
Beveiliging TV
Data Management
CXO
Datacenters