Contenuto

• Password di phishing vocale su altoparlanti Amazon Echo e Google Home
• Ascoltare di nascosto gli utenti tramite gli altoparlanti Amazon Echo e Google Home

Sapevamo che Google e Amazon ascoltano i loro utenti attraverso i loro altoparlanti intelligenti Echo e Home attivati ​​a voce. Tuttavia, un gruppo di ricercatori sulla sicurezza ha ora dimostrato come le app di terze parti possano facilmente intercettare utenti e informazioni sensibili al phishing come le password.

I ricercatori di SRLabs in Germania hanno scoperto due scenari di hacking - intercettazioni e phishing - sia per i dispositivi Amazon Alexa che Google Home / Nest. Hanno creato otto app vocali (Skills for Alexa e Actions for Google Home) per dimostrare gli hack che trasformano questi altoparlanti intelligenti in spie intelligenti. Le app vocali dannose create da SRLab sono facilmente passate attraverso i processi di screening individuali di Amazon e Google.

Sono stati usati approcci diversi per intercettare gli utenti di Amazon Alexa e Google Home e per trarne informazioni. I ricercatori sono stati in grado di cambiare la funzionalità delle abilità e delle azioni che hanno creato per l'hacking dopo che Amazon e Google hanno approvato le app. Non è stato richiesto un secondo giro di recensioni dopo che sono state apportate le modifiche.

Password di phishing vocale su altoparlanti Amazon Echo e Google Home

Nel video qui sotto, vedi come un utente chiede ad Alexa di iniziare un'abilità chiamata My Lucky Horoscope. Questa è un'abilità dannosa di Alexa creata e modificata da SRLabs per phishing di password.

L'app non dà il benvenuto e, invece, risponde dicendo: "Questa competenza non è attualmente disponibile nel tuo paese". A questo punto, un utente supporrebbe che l'app abbia smesso di ascoltare, ma in realtà non lo è. Invece, l'abilità è stata compromessa per dire una sequenza di caratteri che Alexa non può pronunciare, quindi l'oratore rimane in silenzio quando è effettivamente in pausa e in ascolto.

L'abilità quindi riproduce un phishing che dice: "Un nuovo aggiornamento è disponibile per il tuo dispositivo Alexa. Ti preghiamo di dire che inizia seguito dalla tua password. ”Mentre Amazon non richiede mai password in questo modo, gli utenti che non sono consapevoli possono essere colti di sorpresa.

Un approccio simile è stato utilizzato per le password di phishing vocale su un altoparlante Google Home Mini.

Ascoltare di nascosto gli utenti tramite gli altoparlanti Amazon Echo e Google Home

Per intercettare, i ricercatori hanno usato la stessa app per l'oroscopo per l'oratore intelligente di Amazon. L'app inganna l'utente facendogli credere che sia stata interrotta mentre ascolta in silenzio in background.

Per Google Home, l'hacking è stato ancora più semplice e non era necessario specificare le parole chiave per intercettare. I ricercatori osservano che in questo caso, l'utente viene messo in loop come "il dispositivo invia costantemente input vocali al server dell'hacker mentre emette brevi silenzi nel mezzo".

SRLabs ha rimosso tutte le app dimostrate nei video mostrati sopra. I ricercatori hanno anche riferito i loro risultati ad Amazon e Google.

Come da Ars Technica, entrambe le società hanno risposto affermando che stanno cambiando i loro processi di approvazione e adottando meccanismi aggiuntivi per evitare tali hack in futuro.

Tuttavia, non ci sono aggiornamenti da Amazon o Google per dire quando questi problemi verranno risolti. Inoltre, non c'è modo di sapere se un'abilità o un'azione hanno abusato di queste scappatoie in passato.