Os hacks do Alexa e do Google Assistant permitem que alto-falantes inteligentes escutem …

Alto-falantes inteligentes como Amazon Echo ou Google Home certamente podem ser ferramentas úteis, mas junto com essa utilidade também surgem várias preocupações de segurança. Essas preocupações foram bem declaradas desde que esses alto-falantes inteligentes chegaram ao mercado e hoje uma equipe de pesquisadores de segurança está alertando sobre explorações que afetam os dispositivos Google Home e Amazon Echo que os desenvolvedores podem usar para espionar usuários ou phishing de informações pessoais. .

O Security Research Labs, com sede em Berlim, detalhou as duas explorações em um extenso relatório publicado em seu site. Ele está chamando esse par de explorações de hackers de “espiões inteligentes” e desenvolveu uma coleção de aplicativos para demonstrar não apenas como os ataques são realizados, mas também o fato de que as habilidades ou aplicativos que transportam essas explorações podem contornar os processos de aprovação da Amazon e do Google .

O primeiro hack do Smart Spies envolve phishing da senha de um usuário usando alertas falsos de atualização. Como explica o Security Research Labs, essa exploração depende do fato de que, uma vez que uma habilidade ou aplicativo é aprovada pelo Google ou pela Amazon, alterar sua funcionalidade não aciona uma segunda revisão. Com isso em mente, o Security Research Labs construiu aplicativos que usam a palavra “start” para acionar funções.

Depois que o aplicativo inócuo foi aprovado pela Amazon e pelo Google, o Security Research Labs voltou e alterou a mensagem de boas-vindas do aplicativo para uma mensagem de erro falsa – “Essa habilidade não está disponível no seu país no momento” – para fazer com que os usuários acreditem que o aplicativo não foi iniciado e não está mais ouvindo. A partir daí, o Security Research Labs fez o aplicativo “dizer” a sequência de caracteres para ” “. Como a sequência é impronunciável, o orador fica em silêncio por um período de tempo, reforçando a noção de que nem o aplicativo nem o orador estão ativos no momento.

Após um período razoável de silêncio, o aplicativo reproduz um alerta de atualização falso com uma voz semelhante à usada pelo Alexa ou pelo Google Assistant. Nos vídeos que você vê acima, esse alerta faz parecer que há uma atualização disponível para o alto-falante inteligente e os usuários devem solicitar que o alto-falante o instale dizendo “Iniciar atualização” seguido de sua senha. Como “iniciar” é uma palavra acionadora nesse caso, o invasor captura a senha do usuário enquanto a vítima não tem idéia de que acabou de fornecer credenciais de logon a terceiros mal-intencionados.

Muitos de nós sabemos que a Amazon e o Google não solicitarão sua senha via Alexa ou Assistant, mas esse truque é ignorado pelos usuários que não sabem disso. Escusado será dizer que, se o seu alto-falante inteligente solicitar informações pessoais, como senhas ou números de cartão de crédito, não desista dessas informações.

O segundo hack dos Smart Spies é ainda mais preocupante, pois pode permitir que o seu alto-falante inteligente continue ouvindo as conversas quando você acha que parou um aplicativo. O processo de execução desse ataque é um pouco diferente para os dispositivos Echo e Google Home, mas os dois ataques dependem de alterar a forma como um aplicativo funciona depois de ter sido aprovado pela Amazon ou pelo Google.

Nos dois casos, o ataque é realizado levando o usuário a acreditar que parou um aplicativo enquanto, na realidade, ele ainda está sendo executado silenciosamente. Mais uma vez, a sequência de caracteres ” ,” é usada e, nos dispositivos Echo, é nesse ponto que o aplicativo começa a ouvir palavras-chave comuns, como “I”, embora essas palavras-chave possam ser definidas pelo atacante. O aplicativo escuta por alguns segundos após o usuário dar o comando “stop” e, se o usuário falar uma frase que começa com essa palavra de gatilho, o conteúdo dessa conversa será enviado aos servidores do invasor.

Na Página inicial do Google, essa exploração de interceptação tem o potencial de ser executada indefinidamente, e não apenas escuta os usuários continuamente, mas também envia outros comandos do tipo “OK Google” que o usuário tenta executar para os atacantes. Isso significa que a exploração pode ser usada para encenar ataques intermediários quando proprietários de alto-falantes inteligentes tentam usar outro aplicativo.

O Security Research Labs relatou essas explorações ao Google e à Amazon antes de publicar seu relatório, no qual afirma que as duas empresas precisam implementar melhor proteção para os usuários finais. O ponto central da crítica do SRLabs é o processo de aprovação falho empregado pela Amazon e pelo Google, embora os pesquisadores também acreditem que o Google e a Amazon devam agir contra aplicativos que usam caracteres impronunciáveis ​​ou mensagens silenciosas de SSML.

O SRLabs acredita que a Amazon e o Google devem proibir o texto de saída que também inclui “senha”, já que não há motivo real para os aplicativos solicitarem isso em primeiro lugar. No final, porém, o SRLabs também diz que os usuários devem abordar novas habilidades e aplicativos de alto-falante inteligente com certa cautela, pois este relatório deixa claro que os atacantes criativos podem fazer muito enquanto evitam a atenção da Amazon e do Google.