Os hacks do Alexa e do Google Assistant permitem que alto-falantes inteligentes escutem …

Os hacks do Alexa e do Google Assistant permitem que alto-falantes inteligentes escutem ...

Alto-falantes inteligentes como Amazon Echo ou Google Home certamente podem ser ferramentas √ļteis, mas junto com essa utilidade tamb√©m surgem v√°rias preocupa√ß√Ķes de seguran√ßa. Essas preocupa√ß√Ķes foram bem declaradas desde que esses alto-falantes inteligentes chegaram ao mercado e hoje uma equipe de pesquisadores de seguran√ßa est√° alertando sobre explora√ß√Ķes que afetam os dispositivos Google Home e Amazon Echo que os desenvolvedores podem usar para espionar usu√°rios ou phishing de informa√ß√Ķes pessoais. .

O Security Research Labs, com sede em Berlim, detalhou as duas explora√ß√Ķes em um extenso relat√≥rio publicado em seu site. Ele est√° chamando esse par de explora√ß√Ķes de hackers de ‚Äúespi√Ķes inteligentes‚ÄĚ e desenvolveu uma cole√ß√£o de aplicativos para demonstrar n√£o apenas como os ataques s√£o realizados, mas tamb√©m o fato de que as habilidades ou aplicativos que transportam essas explora√ß√Ķes podem contornar os processos de aprova√ß√£o da Amazon e do Google .

O primeiro hack do Smart Spies envolve phishing da senha de um usu√°rio usando alertas falsos de atualiza√ß√£o. Como explica o Security Research Labs, essa explora√ß√£o depende do fato de que, uma vez que uma habilidade ou aplicativo √© aprovada pelo Google ou pela Amazon, alterar sua funcionalidade n√£o aciona uma segunda revis√£o. Com isso em mente, o Security Research Labs construiu aplicativos que usam a palavra “start” para acionar fun√ß√Ķes.

Depois que o aplicativo in√≥cuo foi aprovado pela Amazon e pelo Google, o Security Research Labs voltou e alterou a mensagem de boas-vindas do aplicativo para uma mensagem de erro falsa – ‚ÄúEssa habilidade n√£o est√° dispon√≠vel no seu pa√≠s no momento‚ÄĚ – para fazer com que os usu√°rios acreditem que o aplicativo n√£o foi iniciado e n√£o est√° mais ouvindo. A partir da√≠, o Security Research Labs fez o aplicativo “dizer” a sequ√™ncia de caracteres para ” “. Como a sequ√™ncia √© impronunci√°vel, o orador fica em sil√™ncio por um per√≠odo de tempo, refor√ßando a no√ß√£o de que nem o aplicativo nem o orador est√£o ativos no momento.

Ap√≥s um per√≠odo razo√°vel de sil√™ncio, o aplicativo reproduz um alerta de atualiza√ß√£o falso com uma voz semelhante √† usada pelo Alexa ou pelo Google Assistant. Nos v√≠deos que voc√™ v√™ acima, esse alerta faz parecer que h√° uma atualiza√ß√£o dispon√≠vel para o alto-falante inteligente e os usu√°rios devem solicitar que o alto-falante o instale dizendo “Iniciar atualiza√ß√£o” seguido de sua senha. Como “iniciar” √© uma palavra acionadora nesse caso, o invasor captura a senha do usu√°rio enquanto a v√≠tima n√£o tem id√©ia de que acabou de fornecer credenciais de logon a terceiros mal-intencionados.

Muitos de n√≥s sabemos que a Amazon e o Google n√£o solicitar√£o sua senha via Alexa ou Assistant, mas esse truque √© ignorado pelos usu√°rios que n√£o sabem disso. Escusado ser√° dizer que, se o seu alto-falante inteligente solicitar informa√ß√Ķes pessoais, como senhas ou n√ļmeros de cart√£o de cr√©dito, n√£o desista dessas informa√ß√Ķes.

O segundo hack dos Smart Spies é ainda mais preocupante, pois pode permitir que o seu alto-falante inteligente continue ouvindo as conversas quando você acha que parou um aplicativo. O processo de execução desse ataque é um pouco diferente para os dispositivos Echo e Google Home, mas os dois ataques dependem de alterar a forma como um aplicativo funciona depois de ter sido aprovado pela Amazon ou pelo Google.

Nos dois casos, o ataque √© realizado levando o usu√°rio a acreditar que parou um aplicativo enquanto, na realidade, ele ainda est√° sendo executado silenciosamente. Mais uma vez, a sequ√™ncia de caracteres ” ,” √© usada e, nos dispositivos Echo, √© nesse ponto que o aplicativo come√ßa a ouvir palavras-chave comuns, como “I”, embora essas palavras-chave possam ser definidas pelo atacante. O aplicativo escuta por alguns segundos ap√≥s o usu√°rio dar o comando “stop” e, se o usu√°rio falar uma frase que come√ßa com essa palavra de gatilho, o conte√ļdo dessa conversa ser√° enviado aos servidores do invasor.

Na P√°gina inicial do Google, essa explora√ß√£o de intercepta√ß√£o tem o potencial de ser executada indefinidamente, e n√£o apenas escuta os usu√°rios continuamente, mas tamb√©m envia outros comandos do tipo “OK Google” que o usu√°rio tenta executar para os atacantes. Isso significa que a explora√ß√£o pode ser usada para encenar ataques intermedi√°rios quando propriet√°rios de alto-falantes inteligentes tentam usar outro aplicativo.

O Security Research Labs relatou essas explora√ß√Ķes ao Google e √† Amazon antes de publicar seu relat√≥rio, no qual afirma que as duas empresas precisam implementar melhor prote√ß√£o para os usu√°rios finais. O ponto central da cr√≠tica do SRLabs √© o processo de aprova√ß√£o falho empregado pela Amazon e pelo Google, embora os pesquisadores tamb√©m acreditem que o Google e a Amazon devam agir contra aplicativos que usam caracteres impronunci√°veis ‚Äč‚Äčou mensagens silenciosas de SSML.

O SRLabs acredita que a Amazon e o Google devem proibir o texto de sa√≠da que tamb√©m inclui ‚Äúsenha‚ÄĚ, j√° que n√£o h√° motivo real para os aplicativos solicitarem isso em primeiro lugar. No final, por√©m, o SRLabs tamb√©m diz que os usu√°rios devem abordar novas habilidades e aplicativos de alto-falante inteligente com certa cautela, pois este relat√≥rio deixa claro que os atacantes criativos podem fazer muito enquanto evitam a aten√ß√£o da Amazon e do Google.

0 Shares