Inhoud
- Voice phishing wachtwoorden op Amazon Echo en Google Home speakers
- Afluisteren van gebruikers via Amazon Echo en Google Home-speakers
We wisten dat Google en Amazon naar hun gebruikers luisterden via hun spraakgestuurde slimme luidsprekers Echo en Home. Een groep beveiligingsonderzoekers heeft nu echter aangetoond hoe apps van derden gebruikers en spraakgevoelige informatie zoals wachtwoorden gemakkelijk kunnen afluisteren.
Onderzoekers van de Duitse SRLabs vonden twee hackscenario's - afluisteren en phishing - voor zowel Amazon Alexa- als Google Home / Nest-apparaten. Ze creëerden acht spraak-apps (Skills for Alexa en Actions voor Google Home) om de hacks te demonstreren die van deze slimme speakers slimme spionnen maken. De kwaadaardige spraak-apps die door SRLabs zijn gemaakt, zijn gemakkelijk door Amazon en de afzonderlijke screeningprocessen van Google gegaan.
Verschillende benaderingen werden gebruikt om Amazon Alexa- en Google Home-gebruikers af te luisteren en phishing-informatie van hen te gebruiken. De onderzoekers waren in staat om de functionaliteit van de vaardigheden en acties die ze hebben gemaakt om te hacken te wijzigen nadat Amazon en Google de apps hebben goedgekeurd. Er werd geen tweede beoordelingsronde gevraagd nadat de genoemde wijzigingen waren aangebracht.
Voice phishing wachtwoorden op Amazon Echo en Google Home speakers
In de onderstaande video zie je hoe een gebruiker Alexa vraagt om een vaardigheid te starten met de naam My Lucky Horoscope. Dit is een kwaadaardige Alexa-vaardigheid die is gemaakt en aangepast door SRLabs om te phishing voor wachtwoorden.
De app geeft geen welkomstbericht en antwoordt in plaats daarvan: "Deze vaardigheid is momenteel niet beschikbaar in uw land." Op dit moment gaat een gebruiker ervan uit dat de app is gestopt met luisteren, maar dat is het echt niet. In plaats daarvan is de vaardigheid gehackt om een tekenreeks te zeggen die Alexa niet kan uitspreken, vandaar dat de spreker zwijgt wanneer hij daadwerkelijk is gepauzeerd en luistert.
De vaardigheid speelt vervolgens een phishing-uitspraak af: "Er is een nieuwe update beschikbaar voor uw Alexa-apparaat. Zeg alsjeblieft start gevolgd door je wachtwoord. ”Hoewel Amazon nooit op deze manier om wachtwoorden vraagt, kunnen gebruikers die niet op de hoogte zijn, overrompeld raken.
Een vergelijkbare aanpak werd gebruikt voor voice-phishing-wachtwoorden op een Google Home Mini-luidspreker.
Afluisteren van gebruikers via Amazon Echo en Google Home-speakers
Voor het afluisteren gebruikten de onderzoekers dezelfde horoscoop-app voor de slimme luidspreker van Amazon. De app laat de gebruiker geloven dat hij is gestopt terwijl hij stil op de achtergrond luistert.
Voor Google Home was de hack nog eenvoudiger en hoefden er geen triggerwoorden te worden gebruikt om af te luisteren. De onderzoekers merken op dat in dit geval de gebruiker in een lus wordt gezet omdat "het apparaat voortdurend spraakinvoer naar de server van de hacker verzendt en tussendoor korte stiltes uitvoert".
SRLabs heeft alle apps die in de hierboven getoonde video's zijn gedemonteerd, verwijderd. De onderzoekers rapporteerden ook hun bevindingen aan Amazon en Google.
Vanaf Ars Technica, beide bedrijven reageerden door te zeggen dat ze hun goedkeuringsprocessen wijzigen en aanvullende mechanismen invoeren om dergelijke hacks in de toekomst te voorkomen.
Er is echter geen update van Amazon of Google om te zeggen wanneer deze problemen zullen worden opgelost. Er is ook geen manier om te weten of een vaardigheid of actie deze mazen in het verleden verkeerd heeft gebruikt.
