เนื้อหา
- รหัสผ่านฟิชชิ่งด้วยเสียงบนลำโพง Amazon Echo และ Google Home
- กำลังดักข้อมูลผู้ใช้ผ่านลำโพง Amazon Echo และ Google Home
เรารู้ว่า Google และ Amazon ฟังผู้ใช้ของพวกเขาผ่านลำโพงอัจฉริยะ Echo และ Home ที่ใช้งานด้วยเสียง อย่างไรก็ตามกลุ่มนักวิจัยด้านความปลอดภัยได้แสดงให้เห็นว่าแอพของบุคคลที่สามสามารถดักฟังผู้ใช้และข้อมูลที่ละเอียดอ่อนด้วยเสียงเช่นรหัสผ่านได้อย่างไร
นักวิจัยที่ SRLabs ของเยอรมนีพบสถานการณ์แฮ็คสองสถานการณ์คือการดักข้อมูลและฟิชชิงสำหรับอุปกรณ์ทั้ง Amazon Alexa และ Google Home / Nest พวกเขาสร้างแอพเสียงแปดตัว (ทักษะสำหรับ Alexa และ Actions สำหรับ Google Home) เพื่อแสดงความสามารถที่เปลี่ยนลำโพงอัจฉริยะเหล่านี้ให้กลายเป็นสายลับอัจฉริยะ แอปเสียงที่เป็นอันตรายที่สร้างขึ้นโดย SRLabs ส่งผ่านทาง Amazon และกระบวนการคัดกรองบุคคลของ Google ได้อย่างง่ายดาย
วิธีการที่แตกต่างกันถูกนำมาใช้เพื่อดักฟังในผู้ใช้ Amazon Alexa และ Google Home และเพื่อ phish ข้อมูลจากพวกเขา นักวิจัยสามารถเปลี่ยนการทำงานของทักษะและการทำงานที่พวกเขาสร้างขึ้นสำหรับการแฮ็คหลังจาก Amazon และ Google อนุมัติแอป ไม่มีการทบทวนรอบที่สองหลังจากมีการเปลี่ยนแปลงดังกล่าว
รหัสผ่านฟิชชิ่งด้วยเสียงบนลำโพง Amazon Echo และ Google Home
ในวิดีโอด้านล่างคุณจะเห็นว่าผู้ใช้ขอให้ Alexa เริ่มทักษะที่เรียกว่า My Lucky Horoscope ได้อย่างไร นี่คือทักษะ Alexa ที่เป็นอันตรายที่สร้างและแก้ไขโดย SRLabs เพื่อ phish สำหรับรหัสผ่าน
แอปไม่ได้ให้การต้อนรับและตอบกลับโดยกล่าวว่า“ ขณะนี้ความสามารถนี้ยังไม่พร้อมให้บริการในประเทศของคุณ” ณ จุดนี้ผู้ใช้จะถือว่าแอปหยุดฟัง แต่จริงๆแล้วมันไม่มี แต่ความสามารถนั้นถูกแฮ็กเพื่อพูดถึงลำดับตัวละครที่ Alexa ไม่สามารถออกเสียงได้ดังนั้นผู้พูดจะยังคงนิ่งเงียบเมื่อมันหยุดและฟังจริง ๆ
ทักษะนั้นเล่นคำพูดฟิชชิงว่า“ มีการอัปเดตใหม่สำหรับอุปกรณ์ Alexa ของคุณ โปรดบอกว่าเริ่มด้วยรหัสผ่านของคุณ” ในขณะที่อเมซอนไม่ขอรหัสผ่านในลักษณะนี้ผู้ใช้ที่ไม่รู้จักสามารถถูกป้องกันได้
มีวิธีการที่คล้ายกันนี้ใช้สำหรับรหัสผ่านที่ใช้เสียงหลอกลวงในลำโพงของ Google Home Mini
กำลังดักข้อมูลผู้ใช้ผ่านลำโพง Amazon Echo และ Google Home
สำหรับการดักฟังนักวิจัยใช้แอพดวงชะตาเดียวกันกับลำโพงอัจฉริยะของ Amazon แอพพลิเคชั่นหลอกผู้ใช้ให้เชื่อว่ามันหยุดทำงานในขณะที่ฟังอยู่เบื้องหลัง
สำหรับ Google Home แฮ็คนั้นง่ายยิ่งขึ้นและไม่จำเป็นต้องระบุคำที่ใช้เรียกเพื่อดักฟัง นักวิจัยทราบว่าในกรณีนี้ผู้ใช้จะถูกวนเป็น“ อุปกรณ์ส่งสัญญาณเสียงไปยังเซิร์ฟเวอร์ของแฮ็กเกอร์อย่างต่อเนื่องในขณะที่ส่งสัญญาณเสียงสั้น ๆ ในระหว่างนั้น”
SRLabs นำแอปทั้งหมดที่สาธิตในวิดีโอที่แสดงด้านบนออกมาแล้ว นักวิจัยยังรายงานการค้นพบของพวกเขาต่อ Amazon และ Google
ตาม Ars Technicaทั้งสอง บริษัท ตอบกลับโดยบอกว่าพวกเขากำลังเปลี่ยนกระบวนการอนุมัติและใช้กลไกเพิ่มเติมเพื่อหลีกเลี่ยงการแฮ็กในอนาคต
อย่างไรก็ตามไม่มีการอัปเดตจาก Amazon หรือ Google ที่จะบอกว่าเมื่อใดที่ปัญหาเหล่านี้จะได้รับการแก้ไข นอกจากนี้ยังไม่มีทางรู้ว่าทักษะหรือการกระทำที่ใช้ช่องโหว่เหล่านี้ในทางที่ผิดในอดีต
