İçerik
- Amazon Yankı ve Google Ana Sayfa konuşmacılarında sesli kimlik avı şifreleri
- Amazon Yankı ve Google Ana Sayfa hoparlörleri aracılığıyla kullanıcılara açık konuşma
Google ve Amazon'un, sesle etkinleşen Yankı ve Ev akıllı hoparlörleri ile kullanıcılarını dinlediğini biliyorduk. Bununla birlikte, bir grup güvenlik araştırmacısı, üçüncü taraf uygulamaların kullanıcılar ve şifreler gibi sesle ilgili hassas bilgileri nasıl kolayca dinleyebileceğini göstermiştir.
Almanya’nın SRLabs’ındaki araştırmacılar, hem Amazon Alexa’da hem de Google Home / Nest cihazları için gizlice dinleme ve kimlik avı gibi iki saldırı senaryosu buldular. Bu akıllı konuşmacıları akıllı casuslara dönüştüren saldırıları göstermek için sekiz ses uygulaması (Alexa için Beceri ve Google Ana Sayfası için Eylemler) oluşturdular. SRLabs tarafından oluşturulan kötü amaçlı ses uygulamaları Amazon ve Google’ın bireysel tarama işlemlerinden kolayca geçirildi.
Amazon Alexa ve Google Home kullanıcılarının dikkatini çekmek ve onlardan bilgi almak için farklı yaklaşımlar kullanıldı. Araştırmacılar, Amazon ve Google uygulamaları onayladıktan sonra bilgisayar korsanlığı için oluşturdukları becerilerin ve Eylemlerin işlevselliğini değiştirebildi. Söz konusu değişiklikler yapıldıktan sonra sorulan hiçbir ikinci inceleme türü yoktu.
Amazon Yankı ve Google Ana Sayfa konuşmacılarında sesli kimlik avı şifreleri
Aşağıdaki videoda, kullanıcıların Alexa'dan My Lucky Horoscope adlı bir yeteneğe başlamalarını nasıl istediğini görüyorsunuz. Bu, SRLabs tarafından oluşturulan ve şifreler için kimlik avı yapan kötü amaçlı bir Alexa yeteneğidir.
Uygulamaya hoş geldin demiyor ve bunun yerine, “Bu beceri şu anda ülkenizde mevcut değil” diyerek yanıt veriyor. Bu noktada, bir kullanıcı uygulamanın dinlemeyi bıraktığını varsayar, ancak uygulama gerçekten yapmamıştır. Bunun yerine, beceri, Alexa'nın telaffuz edemediği bir karakter dizisini söyleme konusunda saldırıya uğradı, bu nedenle konuşmacı, gerçekten duraklatıldığında ve dinlerken sessiz kalıyor.
Beceri daha sonra “Alexa cihazınız için yeni bir güncelleme var. Lütfen şifrenizin ardından başladığınızı söyleyin. ”Amazon hiçbir zaman bu şekilde şifreler istemezken, habersiz kullanıcılar bekçi tarafından yakalanabilir.
Benzer bir yaklaşım, bir Google Ana Sayfa Mini hoparlöründeki sesle kimlik avı şifreleri için de kullanıldı.
Amazon Yankı ve Google Ana Sayfa hoparlörleri aracılığıyla kullanıcılara açık konuşma
Kulak misafiri olmak için, araştırmacılar Amazon’un akıllı konuşmacısı için aynı burç uygulamasını kullandılar. Uygulama, kullanıcıyı sessizce arka planda dinlerken durdurulduğuna inanması konusunda kandırır.
Google Ana Sayfası için kesmek daha kolaydı ve gizlice dinlemek için tetikleyici kelimeler belirtmeye gerek yoktu. Araştırmacılar, bu durumda kullanıcının “cihaz, aralarında kısa sessizlikler çıkarken hacker sunucusuna sürekli ses girişi gönderiyor” şeklinde bir döngüye girdiğini belirtti.
SRLabs, yukarıda gösterilen videolarda yayınlanan tüm uygulamaları kullandı. Araştırmacılar ayrıca bulgularını Amazon ve Google'a da bildirmişlerdir.
Başına Ars TechnicaHer iki şirket de, onay süreçlerini değiştirdiklerini söyleyerek ve gelecekte bu tür saldırıları önlemek için ek mekanizmalar benimseyerek yanıt verdi.
Ancak, bu sorunların ne zaman çözüleceğini söyleyen Amazon veya Google’dan güncelleme yapılmamıştır. Bir beceri veya eylemin geçmişte bu boşlukları kötüye kullanıp kullanmadığını da bilmenin bir yolu yoktur.