ארגון מחקר אבטחה בגרמניה הציב שמונה 'מרגלים חכמים' בחנויות האפליקציות של אמזון אלקסה וגוגל הום כדי להדגים באיזו קלות ניתן לבצע ציתות ופישינג באמצעות רמקולים חכמים.
הארגון הגרמני Security Research Labs הוכיח את שניהם שניתן ליצור עבורם אפליקציות זדוניותאלכסהוGoogle Home, ושהם יכולים לעבור בדיקה ביטחונית. החברה יצרה בהצלחה שמונה אפליקציות כאלה שכינו "מרגלים חכמים". כל אחד מהם תוכנן לצותת או להתחזות, וכל אחד מהם אושר על ידיאֲמָזוֹנָהוגוגל.
"תמיד היה ברור שלעוזרים הקוליים האלה יש השלכות פרטיות - עם גוגל ואמזון שמקבלות את הנאום שלך, וייתכן שזה מופעל בתאונה לפעמים", אמר פביאן בראונליין, יועץ אבטחה בכיר בחברת SRLabs.Ars Technica.
"עכשיו אנחנו מראים שלא רק היצרנים, אלא... גם האקרים יכולים להתעלל בעוזרי הקול האלה כדי לחדור לפרטיות של מישהו", המשיך.
כישורי המרגלים החכמים ב-Alexa או הפעולות ב-Google Home הצליחו לצותת למשתמשים לאחר שהם היו צריכים להפסיק להקשיב. חלקם היו דיוגים שאמרו למשתמשים שיש עדכון וביקשו סיסמאות.
לְפִיתיעוד SRLabs, החברה הסתמכה על האופן שבו ניתן לשנות אלמנטים מסוימים של מיומנות קולית של אלקסה לאחר שהיא עברה את תהליך הבדיקה של אמזון.
זה גם ניצל את היכולת של מפתחים להכניס הפסקות ארוכות מאוד בפלט הדיבור של מיומנויות Alexa או פעולות של גוגל. זה מושג על ידי בקשת כל אחד מהרמקולים החכמים לומר שוב ושוב סדרה בלתי ניתנת להגייה של קודי ASCII או ISO.
משמעות הדבר היא שהאפליקציות הקוליות ישתקו וכך נראה שהסתיימו, כאשר במציאות הן חיכו עד דקה כדי לשאול שאלות דיוג.
SRLabs חשפה את האפליקציות ואת המחקר שלה לאמזון וגוגל, שתיהן הסירו כעת את האפליקציות. שתי החברות הגיבו לאחר מכן ל- SRLabs בהצהרות על מניעת ביצוע זה שוב.
"זה כבר לא אפשרי עבור מיומנויות שנשלחות להסמכה", אמר דובר אמזון בהצהרה בכתב ל- SRLabs. "הכנסנו אמצעים למניעת ולזהות סוג זה של התנהגות מיומנות ודוחים או מורידים אותם כאשר הם מזוהים."
"כל הפעולות בגוגל נדרשות לציית למדיניות המפתחים שלנו, ואנו אוסרים ומסירים כל פעולה שמפרה מדיניות זו", אמר דובר גוגל בהצהרה דומה.
"יש לנו תהליכי סקירה כדי לזהות את סוג ההתנהגות המתואר בדוח הזה, והסרנו את הפעולות שמצאנו מהחוקרים האלה", המשיך דובר גוגל. "אנו מציבים מנגנונים נוספים כדי למנוע את הבעיות הללו מלהתרחש בעתיד."
Ars Technicaמדווח שגוגל בוחנת כעת את כל פעולות Google Home של צד שלישי.
SRLabs לא הניחו שום מרגלים חכמיםתַפּוּחַשלHomePod, מכיוון שכרגע זה אינו תומך בפעולות של צד שלישי.
בעבר, דווח על שימוש באמזוןאלפי עובדים לנטר הקלטותשל פקודות מדוברות שהונפקו לרמקולים החכמים של החברה ולמכשירים נוספים.גוגל עשתה את אותו הדבר, וכך גםתַפּוּחַ.
