» »

Zvočno ribarjenje z asistenco pametnih pomočnikov

Zvočno ribarjenje z asistenco pametnih pomočnikov

vir: Flickr

vir: threatpost
threatpost - T. i. Whitehat hekerja pri nemškem Security Research Labs (SRLabs) sta prikazala nov način, s katerim je Amazonovo Alexo in Googlovega Smart Home assistanta uporabiti za prisluškovanje ali pa celo za phishing napad, s katerim je moč pridobiti uporabnikove občutljive podatke. Napad v resnici uporablja že znan koncept aplikacije, razvite s strani zunanjih razvijalcev, v ta namen so raziskovalci izdelali po štiri Alexine "skille" in štiri Google Home "actions". Vsa osmerica je brez težav prešla varnostno preverjanje pri obeh podjetjih, saj tam običajno preverjajo le prvo različico vsakega izdelka, ne pa tudi nadaljnjih nadgradenj.

Šlo je za bazične aplikacije, ena od njih je bila denimo horoskop, spet druga pa generator naključnih števil, vse pa so glede zavajanja uporabnikov delovale po istem principu. Belim hekerjem je bilo v pomoč odkritje napake pri obeh asistentih, ki sta potem, ko sta v svojih text-to-speech navodilih zagledala zaporedje "�." (U+D801, pika in presledek) za krajši čas umolknila, zaradi česar je uporabnik menil, da je aplikacija ugasnjena, ta pa je vseeno tekla dalje.

Vse aplikacije so tudi zlorabljale stranska vrata, ki jih Google in Amazon puščata odprta za razvijalce in ki omogočajo pošiljanje posnetkov uporabnikov na poseben strežnik, namenjen razvijalcem, ki podatke uporabljajo za prilagajanje ukazov in odzivov pametne naprave.

Uporabnik je tako denimo zahteval horoskop za svoj astrološki znak, aplikacija pa mu je najprej dala ustrezen odgovor, takoj zatem pa se potuhnila, uporabnika pa pustila v prepričanju, da je prenehala delovati. V resnici je še vedno prisluškovala vsemu v dosegu mikrofona, vsebino pa pošiljala na strežnik, namenjen razvijalcem. Aplikacija, specializirana za phishing pa je na uporabniški ukaz javila lažno napako, nato pa se je tudi ta potuhnila in delala vtis, da je izklopljena. Čez kratek čas je z glasom, podobnim Googlevmu oz. Amazonovbemu pomočniku, javila, da je na voljo nadgradnja, za njeno namestitev pa zahtevala uporabniško geslo.

Raziskovalci so svoje aplikacije seveda že umaknili iz obeh tržnic in obvestili obe podjetji, ki sta napovedali, da bosta prevetrili interne procese varnostnega preverjanja zunanjih aplikacij. Drži pa, da so predstavniki SRLabs obe družbi o varnostni vrzeli obvestili že v začetku letošnjega leta, da so zares pokrpali vse pomanjkljivosti, pa je trajalo vse do pred kratkim.

15 komentarjev

OK.d ::

Ja itak boš svoje geslo povedal assistentu.
LPOK.d

Phantomeye ::

OK.d je izjavil:

Ja itak boš svoje geslo povedal assistentu.


Ti ne, Micka Novak pa mogoče. Sicer težko povedat geslo, lažje je, če dobi opomnik, naj ga vtipka.

Spura ::

Raziskovalci so svoje aplikacije seveda že umaknili iz obeh tržnic in obvestili obe podjetji, ki sta napovedali, da bosta prevetrili interne procese varnostnega preverjanja zunanjih aplikacij.
Potem pa svizec zavije cokolado v folijo. Vsako podjetje hoce cim manj stroskov s supportom, kar pomeni da hoces narest minimalno preverjanja kar lahko. Posledica je da so app stori vedno polni malicious aplikacij. Vsa ta podjetja imajo recimo vec ali manj avtomatiko ki blokira cloud accounte kjer mislijo da so sumljive aktivnosti. Se je ze zgodilo da je kako podjetje fejst najebalo ker jim je google preprosto odklopu virtualke. They do not give a single fuck.

Hermit Bob ::

In smo spet pri debati, kako tehnohipsterji, za potrebe hvalisanja, kupujejo spyware in ga vgrajujejo v svoje domove, ko pa pride do novih incidentov, pa iscejo izgovore za podjetja, ki spyware izdelujejo.

Zadeva je postala ze prav komicna, ravno zaradi njihovega apologetstva (od katerega nimajo cisto nic, razen, da jim ni treba, pri samih sebi, priznati, da jih je nekdo konkretno nategnil in so izpadli idioti), pa bomo cez 10 let borili bitke, kako se znebiti vseh nevidnih kamer, radarjev, mikrofonov (google je pri svojih alarmih ze pozabil povedati, da vsebujejo mikrofon) v toasterjih, zobnih krtackah, viledah itd., podobno kot se danes dogaja z browserji (kjer enaki idioti dovoljujejo googlu vedno bolj dvigati normalo, kaj si podjetja se lahko privoscijo - mm po milimeter si dovoljuejo vedno vec, vsa stvar pa gre v kitajski social score, sicer neviden a po konceptu enak).

Pocasi bi bil cas, da se rece dovolj in se preneha uporabljati izdelke, ki so nam samo v skodo. Stari rek pravi, da se zaupanje pridobiva po kapljicah in izgublja po vedrih, ampak ocitno je druzba prisla na stopnjo idiotizma, kjer tega niti ne razume vec, ali pa posamezniki preprosto prevec trpijo od Stockholmskega sindroma, da bi se bili sposobni razumno odlociti.

Dragi sozemljani, bo treba malo prevetriti podstresja in uporabiti kaksen mocan fungicid, sicer bojo trpeli vasi otroci (kar je 1 dan v prihodnosti in zato se predalec, da bi o tem razmisljali... mar ne?)

Morda se lahkotno branje za tiste, ki so sposobni prebrati vec kot en tweat: http://lab.cccb.org/en/renata-avila-the...

Zgodovina sprememb…

bbf ::

"Dragi sozemljani, bo treba malo prevetriti podstresja in uporabiti kaksen mocan fungicid, sicer bojo trpeli vasi otroci (kar je 1 dan v prihodnosti in zato se predalec, da bi o tem razmisljali... mar ne?)"

Bo Darvin to porihtal, ne se sekirat.

Markoff ::

OK.d je izjavil:

Ja itak boš svoje geslo povedal assistentu.

The problem exists between the keyboard and the chair.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

MrStein ::

zaporedje "?." (U+D801, pika in presledek)

A ta znak sploh kateri browser prav prikaže? Ali pa je že v članku narobe.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Markoff ::

Hermit Bob je izjavil:

Morda se lahkotno branje za tiste, ki so sposobni prebrati vec kot en tweat: http://lab.cccb.org/en/renata-avila-the...

Ljudje nismo bili ustvarjeni za procesiranje takšne mase informacij naenkrat, vsaj ne na dolgi rok, zato v digitalnem svetu nujno potrebujemo ali:
1. izklop in s tem socialno izobčenje (pa ne govorim o FB, IG, WA in druge oslarije, temveč o karieri)
ali
2. AI in čim več digitalnih asistentk, ki namesto nas razmišljajo, mi pa odpeljemo možgane na pašo kot nekoč pastirji na gorah, ki so bili po svoje srečni.

Internet nam je torej obljubljal rešitve, prinesel probleme, nato pa rešitev teh problemov.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Markoff ::

Mislim, članek je sicer še dokaj zanimivo branje, potem pa tak zmazek v njem: "Trump, Brexit, Bolsonaro and Johnson are all examples of this domination."

Kaj ima Trump zveze s Sladkohribom in njegovim vampirizmom po osebnih podatkih, kaj ima odločitev Britancev, da spokajo iz politične zveze in Johnson, ki gasi ta požar, zveze z "digitalnim kolonializmom"? Zakaj omenja ZDA in Evropo v "primerih držav", ko pa je Kitajska za eno ali več magnitud bolj problematična z vidika spoštovanja človekovih pravic kot omenjeni? Res, čisto vsi vlačijo neke politične nebuloze v svoje kolumne - morda, da izpadejo aktualni? Relevantni? "Progresivni"? Do konca raje sploh ne berem, da ne bo še kakšna Sveta Greta skočila ven iz ekrana.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Hermit Bob ::

bbf je izjavil:

"Dragi sozemljani, bo treba malo prevetriti podstresja in uporabiti kaksen mocan fungicid, sicer bojo trpeli vasi otroci (kar je 1 dan v prihodnosti in zato se predalec, da bi o tem razmisljali... mar ne?)"

Bo Darvin to porihtal, ne se sekirat.


Ne, saj ravno to je problem. Ne bo. Oz. se bomo zaradi njih ostali ukvarjali z neumnostmi, ki jih bojo oni povzrocili. Je ze sedaj tako.

Bellzmet ::

OK kdo pa lahko zagotovi, da me preko mikrofona na GSM nobeden skrivno ne posluša? Ali laptopa? Nobeden. Isti šmorn kot Alex/Google.

Hermit Bob ::

Bellzmet je izjavil:

OK kdo pa lahko zagotovi, da me preko mikrofona na GSM nobeden skrivno ne posluša? Ali laptopa? Nobeden. Isti šmorn kot Alex/Google.

Kdo ti bo pa zagotovil, da ce te lahko povozi avto te lahko povozi tudi tovornjak? Isti smorn. Da ce te lahko prebuta babica, te lahko prebuta tudi crnc. Si malo nadrealisticno nagnjen in govoris, brez da bi kaj povedal? Si pustil logiko v prejsnji inkarnaciji?

Tocno zaradi takih butastih pripomb, se moramo danes zahebavat z raznimi pokvarjenimi firmami.

Oberyn ::

Bellzmet je izjavil:

OK kdo pa lahko zagotovi, da me preko mikrofona na GSM nobeden skrivno ne posluša? Ali laptopa? Nobeden. Isti šmorn kot Alex/Google.

Ne kdo, temveč kaj: preprost in cenen elektromehanski sklop, imenovan stikalo. Deluje po zanesljivem principu "cut the wire off". Dolgo pričakovani telefon podjetja Purism bo imel taka stikala za mikrofon, kamero ter vse radie, ki lahko oddajajo: baseband, wi-fi in bluetooth. To bi moral biti pri telefonih in prenosnikih uzakonjen standard. Čakamo eno od slavnih evropskih direktiv, ki bi dejansko koristila.

Bellzmet ::

@hermid bob: nisi me razumel oz. vidim, da ti moram bolj direkt napisat. Moj point je, da če lahko prisluškujejo preko Alexe/Google lahko prisluškujejo tudi preko vsake druge "pametne" naprave, ki ima mikrofon.

Hermit Bob ::

Bellzmet je izjavil:

@hermid bob: nisi me razumel oz. vidim, da ti moram bolj direkt napisat. Moj point je, da če lahko prisluškujejo preko Alexe/Google lahko prisluškujejo tudi preko vsake druge "pametne" naprave, ki ima mikrofon.


Hudic je v detajlih. Ce prisluskujejo preko naprave, ki je namenjena prisluskovanju, imajo plausable deniability. Na drugih napravah jo je mnogo tezje opravicit. Tako ali tako je pa nor, kdorkoli tlaci googlov software na svoje desktop naprave:


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Zvočno ribarjenje z asistenco pametnih pomočnikov

Oddelek: Novice / Varnost
154114 (2956) Hermit Bob
»

Odkrit trojanec za Linux (strani: 1 2 3 )

Oddelek: Novice / Varnost
12537064 (30677) SeMiNeSanja
»

Trojanski konji tudi za Linux (strani: 1 2 )

Oddelek: Novice / Varnost
9425455 (21460) MrStein
»

Nov članek: Varnost slovenskih GSM omrežij

Oddelek: Novice / Nova vsebina
3112252 (8499) hermes
»

Zlikovci pridobili nadzor nad Comodo CA-jem, izdali ponarejene certifikate

Oddelek: Novice / Varnost
308498 (7214) jype

Več podobnih tem