Isi

• Kata sandi phishing suara di Amazon Echo dan speaker Home Google
• Menguping pengguna melalui Amazon Echo dan Google Home speaker

Kami tahu Google dan Amazon mendengarkan penggunanya melalui pengeras suara Echo dan Home yang diaktifkan suara mereka. Namun, sekelompok peneliti keamanan sekarang telah mendemonstrasikan bagaimana aplikasi pihak ketiga dapat dengan mudah menguping pengguna dan informasi sensitif phish-suara seperti kata sandi.

Para peneliti di SRLabs Jerman menemukan dua skenario peretasan - menguping dan phishing - untuk perangkat Amazon Alexa dan Google Home / Nest. Mereka menciptakan delapan aplikasi suara (Keterampilan untuk Alexa dan Tindakan untuk Rumah Google) untuk menunjukkan peretasan yang mengubah speaker pintar ini menjadi mata-mata pintar. Aplikasi suara berbahaya yang dibuat oleh SRLab dengan mudah melewati Amazon dan proses penyaringan individual Google.

Berbagai pendekatan digunakan untuk menguping pengguna Amazon Alexa dan Google Home dan untuk mendapatkan informasi dari mereka. Para peneliti dapat mengubah fungsionalitas keterampilan dan Tindakan yang mereka buat untuk meretas setelah Amazon dan Google menyetujui aplikasi tersebut. Tidak ada ulasan putaran kedua yang diminta setelah perubahan tersebut dibuat.

Kata sandi phishing suara di Amazon Echo dan speaker Home Google

Dalam video di bawah, Anda melihat bagaimana pengguna meminta Alexa untuk memulai keterampilan yang disebut Horoskop Keberuntungan Saya. Ini adalah keterampilan Alexa berbahaya yang dibuat dan dimodifikasi oleh SRLab untuk menipu kata sandi.

Aplikasi tidak memberikan sambutan dan sebagai gantinya, balasan mengatakan, "Keahlian ini saat ini tidak tersedia di negara Anda." Pada titik ini, pengguna akan menganggap aplikasi telah berhenti mendengarkan, tetapi sebenarnya tidak. Alih-alih, keterampilan telah diretas untuk mengatakan urutan karakter yang tidak dapat diucapkan oleh Alexa, oleh karena itu pembicara tetap diam ketika benar-benar berhenti dan mendengarkan.

Skill tersebut kemudian memainkan phising yang mengatakan, “Pembaruan baru tersedia untuk perangkat Alexa Anda. Tolong katakan mulai diikuti dengan kata sandi Anda. ”Sementara Amazon tidak pernah meminta kata sandi dengan cara ini, pengguna yang tidak sadar dapat tertangkap basah.

Pendekatan serupa digunakan untuk kata sandi phishing suara pada Google Home Mini speaker.

Menguping pengguna melalui Amazon Echo dan Google Home speaker

Untuk menguping, para peneliti menggunakan aplikasi horoskop yang sama untuk speaker pintar Amazon. Aplikasi ini menipu pengguna agar percaya bahwa itu telah dihentikan sementara diam-diam mendengarkan di latar belakang.

Untuk Google Home, peretasan itu bahkan lebih mudah dan tidak perlu menentukan kata-kata pemicu untuk menguping. Para peneliti mencatat bahwa dalam kasus ini, pengguna dilingkarkan sebagai "perangkat terus-menerus mengirimkan input suara ke server peretas sambil mengeluarkan keheningan singkat di antaranya."

SRLab telah menghapus semua aplikasi yang diperagakan dalam video yang ditampilkan di atas. Para peneliti juga melaporkan temuan mereka ke Amazon dan Google.

Sesuai Ars Technica, kedua perusahaan merespons dengan mengatakan bahwa mereka mengubah proses persetujuan mereka dan mengadopsi mekanisme tambahan untuk menghindari peretasan seperti itu di masa depan.

Namun, tidak ada pembaruan dari Amazon atau Google untuk mengatakan kapan masalah ini akan diperbaiki. Juga tidak ada cara untuk mengetahui apakah suatu keterampilan atau tindakan menyalahgunakan celah ini di masa lalu.