Indhold

• Stemmelig phishing-adgangskoder på Amazon Echo og Google Home-højttalere
• Afdækker brugerne gennem Amazon Echo og Google Home-højttalere

Vi vidste, at Google og Amazon lytter til deres brugere gennem deres stemmeaktiverede Echo- og Home-smarthøjttalere. Imidlertid har en gruppe af sikkerhedsforskere nu demonstreret, hvordan tredjepartsapps let kan aflyse brugere og stemme-phish følsomme oplysninger som adgangskoder.

Forskere ved Tysklands SRLabs fandt to hackscenarier - aflytning og phishing - til både Amazon Alexa og Google Home / Nest-enheder. De skabte otte stemmeapps (Skills for Alexa og Actions for Google Home) for at demonstrere hacks, der gør disse smarte højttalere til smarte spioner. De ondsindede stemmeapps oprettet af SRLabs passeres let gennem Amazon og Googles individuelle screeningsprocesser.

Forskellige tilgange blev brugt til at aflytning af Amazon Alexa og Google Home-brugere og til phish-oplysninger fra dem. Forskerne var i stand til at ændre funktionaliteten i de færdigheder og handlinger, de oprettede til hacking, efter at Amazon og Google godkendte apps. Der blev ikke foretaget nogen anden runde af anmeldelser, der blev efterfulgt af de nævnte ændringer.

Stemmelig phishing-adgangskoder på Amazon Echo og Google Home-højttalere

I videoen nedenfor kan du se, hvordan en bruger beder Alexa om at starte en færdighed kaldet My Lucky Horoscope. Dette er en ondsindet Alexa-færdighed oprettet og ændret af SRLabs til phish for adgangskoder.

Appen giver ikke en velkomst, og svarer i stedet og siger: "Denne evne er i øjeblikket ikke tilgængelig i dit land." På dette tidspunkt antager en bruger, at appen er ophørt med at lytte, men den har det virkelig ikke. I stedet er færdigheden blevet hacket for at sige en karaktersekvens, som Alexa ikke kan udtale, hvorfor taleren forbliver tavs, når den faktisk er sat på pause og lytter.

Færdigheden spiller derefter et phishing-ordsprog, ”En ny opdatering er tilgængelig for din Alexa-enhed. Fortæl venligst start efterfulgt af din adgangskode. ”Mens Amazon aldrig beder om adgangskoder på denne måde, kan brugere, der ikke er opmærksomme, blive fanget væk.

En lignende tilgang blev brugt til stemmefishing-adgangskoder på en Google Home Mini-højttaler.

Afdækker brugerne gennem Amazon Echo og Google Home-højttalere

Til aflytting brugte forskerne den samme horoskop-app til Amazons smarthøjttaler. Appen narrer brugeren til at tro, at den er stoppet, mens den lydløst lytter i baggrunden.

For Google Home var hacket endnu lettere, og der var ikke behov for at specificere triggerord for at aflyse. Forskerne bemærker, at i dette tilfælde sættes brugeren i en løkke, da "enheden konstant sender stemmesignaler til hackerens server, mens de udsender korte tavshed imellem."

SRLabs har taget alle de apps ned, der er demoet i ovenstående viste videoer. Forskerne rapporterede også deres fund til Amazon og Google.

Pr Ars Technica, begge virksomheder svarede ved at sige, at de ændrer deres godkendelsesprocesser og vedtager yderligere mekanismer for at undgå sådanne hacks i fremtiden.

Der er dog ingen opdatering fra hverken Amazon eller Google for at sige, hvornår disse problemer løses. Der er heller ingen måde at vide, om en færdighed eller handling misbrugt disse smuthuller i fortiden.