Zvočno ribarjenje z asistenco pametnih pomočnikov
Dare Hriberšek
21. okt 2019 ob 20:46:02
T. i. Whitehat hekerja pri nemškem Security Research Labs (SRLabs) sta prikazala nov način, s katerim je Amazonovo Alexo in Googlovega Smart Home assistanta uporabiti za prisluškovanje ali pa celo za phishing napad, s katerim je moč pridobiti uporabnikove občutljive podatke. Napad v resnici uporablja že znan koncept aplikacije, razvite s strani zunanjih razvijalcev, v ta namen so raziskovalci izdelali po štiri Alexine "skille" in štiri Google Home "actions". Vsa osmerica je brez težav prešla varnostno preverjanje pri obeh podjetjih, saj tam običajno preverjajo le prvo različico vsakega izdelka, ne pa tudi nadaljnjih nadgradenj.
Šlo je za bazične aplikacije, ena od njih je bila denimo horoskop, spet druga pa generator naključnih števil, vse pa so glede zavajanja uporabnikov delovale po istem principu. Belim hekerjem je bilo v pomoč odkritje napake pri obeh asistentih, ki sta potem, ko sta v svojih text-to-speech navodilih zagledala zaporedje "�." (U+D801, pika in presledek) za krajši čas umolknila, zaradi česar je uporabnik menil, da je aplikacija ugasnjena, ta pa je vseeno tekla dalje.
Vse aplikacije so tudi zlorabljale stranska vrata, ki jih Google in Amazon puščata odprta za razvijalce in ki omogočajo pošiljanje posnetkov uporabnikov na poseben strežnik, namenjen razvijalcem, ki podatke uporabljajo za prilagajanje ukazov in odzivov pametne naprave.
Uporabnik je tako denimo zahteval horoskop za svoj astrološki znak, aplikacija pa mu je najprej dala ustrezen odgovor, takoj zatem pa se potuhnila, uporabnika pa pustila v prepričanju, da je prenehala delovati. V resnici je še vedno prisluškovala vsemu v dosegu mikrofona, vsebino pa pošiljala na strežnik, namenjen razvijalcem. Aplikacija, specializirana za phishing pa je na uporabniški ukaz javila lažno napako, nato pa se je tudi ta potuhnila in delala vtis, da je izklopljena. Čez kratek čas je z glasom, podobnim Googlevmu oz. Amazonovbemu pomočniku, javila, da je na voljo nadgradnja, za njeno namestitev pa zahtevala uporabniško geslo.
Raziskovalci so svoje aplikacije seveda že umaknili iz obeh tržnic in obvestili obe podjetji, ki sta napovedali, da bosta prevetrili interne procese varnostnega preverjanja zunanjih aplikacij. Drži pa, da so predstavniki SRLabs obe družbi o varnostni vrzeli obvestili že v začetku letošnjega leta, da so zares pokrpali vse pomanjkljivosti, pa je trajalo vse do pred kratkim.