Hakerzy mogą zmienić inteligentne głośniki w szpiegów
Niemiecka firma Security Research Labs twierdzi, że hakerzy mogą atakować inteligentne głośniki, takie jak Google Home i Amazon Alexa. Dzięki specjalnym narzędziom są w stanie zmienić ich w szpiegów i podsłuchiwać komunikację.
Inteligentne głośniki takie jak Google Home czy Amazon Alexa stają się coraz popularniejsze i można je znaleźć w wielu domach. Urządzenia te są bardzo przydatne, umożliwiają bowiem wygodne zarządzanie systemami inteligentnego domu. Ale także pozwalają w szybki łatwy sposób robić zakupy. Okazuje się jednak, że mogą stanowić zagrożenie dla naszej prywatności.
I nie chodzi tu tylko o nagrania audio odsłuchiwane przez współpracowników dużych koncernów. Według niemieckiej firmy Security Research Labs, hakerzy mogą je zmienić w narzędzia szpiegowskie. Specjaliści ds. bezpieczeństwa znaleźli w oprogramowaniu Google Home i Amazon Alexy kilka dość istotnych luk, które nazwano Smart Spies.
Hakerzy mogą zmienić Amazon Alexa w szpiega
Pierwszy ze Smart Spies umożliwia wykonanie phisingu w celu wyciągnięcia od właściciela hasła użytkownika, wykorzystując w tym celu fałszywe alerty. Działanie te umożliwia fakt, że zmiana funkcjonalności aplikacji już raz zatwierdzonej, nie wymaga powtórnego procesu oceny. Specjaliści stworzyli więc aplikację, w przypadku której słowo “start” pozwala aktywować różne funkcje.
Gdy Google oraz Amazon zatwierdziły już ich aplikację, wówczas podmienili powitalną wiadomość. Użytkownik słysząc komunikat: “Ta funkcja nie jest dostępna w Twoim kraju” sądził, że aplikacja nie uruchomiła się i dłużej nie nasłuchuje. Następnie komendę “mów” zastąpili znakiem kwadratu. Jako że jest on niewypowiadalny, głośnik przez jakiś czas milczał. Po jego upływie odtwarzał fałszywy alert dotyczący aktualizacji, wykorzystując standardowy głos asystenta.
Użytkownik myślał wówczas, że pojawiła się kolejna aktualizacja. Nagranie instruowało również, że użytkownik może ją zainstalować poprzez podanie hasła. Jako że komendą aktywującym głośnik było “start”, więc atakujący przechwytywał hasło użytkownika. Ofiara nie miała z kolei pojęcia że przekazuje swe dane do logowania obcej osobie. Oczywiście głośniki nie proszą użytkownika o hasło, lecz atakujący może liczyć na to, że użytkownicy o tym nie wiedzą.
Drugi atak Smart Spies jest jeszcze groźniejszy, gdyż pozwala zmienić głośnik w szpiega, wykorzystując tzw. eavesdropping. Haker może podsłuchiwać rozmowę użytkownika, nawet jeśli ten sądzi że zamknął aplikację. Ten atak również bazuje na możliwości zmiany funkcjonalności aplikacji tuż po jej zatwierdzeniu. W przypadku Google Home exploit może działać praktycznie w nieskończoność.
Naturalnie zanim specjaliści z Security Research Labs opublikowali raport, poinformowali o swym odkryciu Google i Amazon. W ten sposób dali firmom czas na załatanie luki. Użytkownikom pozostaje więc mieć nadzieję, że koncerny lepiej zabezpieczą swój sprzęt, nie dając hakerom żadnych możliwości ataku.
Technogadżet w liczbach