היזהר, יכול להיות שזה מקשיב קרדיט: GETTY IMAGES / ISTOCKPHOTO
כי אין לנו מספיקדאגותלגבי הפרטיות הדיגיטלית שלנו בימים אלה, נראה כי אלקסה וגוגל הום של אמזון נתנו אגודלים לאפליקציות שניתן להשתמש בהן כדי לצותת למשתמשים ולהתחזות לסיסמאות שלהם.
כְּמוֹדווח על ידי Ars Technica, האקרים Whitehat במעבדות מחקר האבטחה של גרמניה פיתחו ארבע אפליקציות, המכונות "מרגלים חכמים", עבור כל מכשיר שעבר גיוס עם תהליכי הבדיקה המתאימים של אמזון וגוגל, כלומר אושרו לשימוש ציבורי.
SRLabs הסוו את האפליקציות הזדוניות האלה ככלים שימושיים כמו אפליקציות הורוסקופ ומחוללי מספרים אקראיים. הם אפילו קיבלו שמות מעורפלים וגנריים כמו "מיומנויות" (עבור Alexa) ו"פעולות" (ב-Google Home).
החוקרים פיתחו שני סוגים של אפליקציות, אחת לצותת ואחרת לפישינג.
אפליקציות האזנת סתר עובדות בסדר גמור, אבל הנה החלק המפחיד: אחרי שהם משתפים הודעה שגורמת להראות כאילו הם כבר לא פועלים, הם עדיין מתעדים את כל מה שמשתמש אומר.
הנה מיומנות Alexa בפעולה.
ומחולל המספרים האקראיים שנוצר עבור Google Home.
מהירות אור ניתנת לריסוק
די מפחיד, נכון? וגורם לדאגה, במיוחד לאור מה שלמדנו בחודשים האחרונים על השיחות שאלכסה,Google Assistant, וסירי של אפלרְשׁוּמָה. ובעוד החברות הללו נשבעו לשפר את המערכות בהתאמה ולהציע ביטולי הסכמה, אפליקציות ההתחזות של SRLabs הןבֶּאֱמֶתמטריד.
בכל אחד מהמקרים, העוזרת הדיגיטלית מגיבה לבקשת משתמש בהודעת שגיאה ונראה שהיא עוזבת. אבל האפליקציה הזדונית למעשה ממתינה כמה רגעים לפני שתטען שעדכון עבור המכשיר זמין. לאחר מכן הוא מבקש סיסמה כדי שיוכל להתקין את העדכון.
משתמשים חכמים ומודעים לאבטחה צריכים להיבהל מכך, בידיעה שאסור לבקש ממך סיסמה בדרך זו. אבל רוב הסיכויים שאנשים שאינם מתמצאים בטכנולוגיה, כמו קרובי משפחה שלך שמאמינים לכל מה שהם קוראים בפייסבוק, עלולים להתבדות.
בפוסט בבלוג, SRLabs חולק כמה דברים מעניינים על איך הם גרמו לפריצות לעבוד. לדוגמה, עם אפליקציית ההאזנה של Alexa, לאחר שהיא מוסרת את הודעת הסגירה השקרית שלה, האפליקציה צריכה מילת טריגר כדי להקליט שוב. זה לא כל כך קשה להשלים עם מילת טריגר גנרית כמו "אני".
אבל SRLabs חושף כי הרבה יותר קל להפעיל את אותה פריצה ל-Google Home: "עבור מכשירי Google Home, הפריצה חזקה יותר: אין צורך לציין מילות טריגר מסוימות וההאקר יכול לנטר את השיחות של המשתמש באופן אינסופי".
שוב, זה מדאיג להפליא בהתחשב בכך שכל האפליקציות הללו אושרו על ידי צוותי ניהול הן עבור אמזון והן עבור גוגל. לפי Ars Technica, ארבע האפליקציות המקוריות שהוצגו בסרטונים למעלה הוסרו על ידי SRLabs עצמם בעוד שארבע אפליקציות דומות בשפה הגרמנית הוסרורק אחריSRLabs חשף את נקודות התורפה לשתי החברות.
נציג של אמזון אמר ל-Ars Technica, "אמון הלקוחות חשוב לנו, ואנחנו עורכים סקירות אבטחה כחלק מתהליך הסמכת המיומנויות. חסמנו במהירות את המיומנות המדוברת והכנסנו אמצעי מניעה כדי למנוע ולזהות סוג זה של התנהגות מיומנות ו לדחות או להוריד אותם כאשר הם מזוהים."
בינתיים, נציג של גוגל אמר להם, "כל הפעולות ב-Google נדרשות לציית למדיניות המפתחים שלנו, ואנו אוסרים ומסירים כל פעולה שמפרה מדיניות זו. יש לנו תהליכי סקירה כדי לזהות את סוג ההתנהגות המתואר בדוח זה, ואנו הסרנו את הפעולות שמצאנו מהחוקרים הללו. אנו מכניסים מנגנונים נוספים כדי למנוע את הבעיות הללו מלהתרחש בעתיד."
פנינו לאמזון וגוגל להערה נוספת על הדו"ח.
וכמו תמיד, אל תסמוך על אף אחד.
מרקוס גילמר הוא עוזר עורך חדשות ה-Real-Times של Mashable בחוף המערבי, ומדווח על חדשות טובות מיקומו בסן פרנסיסקו. מרקוס, יליד אלבמה, סיים את התואר הראשון שלו בברמינגהם-סאות'רן קולג' ואת ה-MFA שלו בתקשורת מאוניברסיטת ניו אורלינס. מרקוס עבד בעבר עבור Chicagoist, The AV Club, Chicago Sun-Times ו-San Francisco Chronicle.
ניוזלטרים אלה עשויים להכיל פרסומות, עסקאות או קישורי שותפים. בלחיצה על הירשם, אתה מאשר שאתה בן 16+ ומסכים לנותנאי שימושומדיניות פרטיות.
