Contente
- Senhas de phishing de voz nos alto-falantes Amazon Echo e Google Home
- Escutando os usuários através dos alto-falantes Amazon Echo e Google Home
Sabíamos que o Google e a Amazon ouviam seus usuários por meio dos alto-falantes inteligentes Echo e Home ativados por voz. No entanto, um grupo de pesquisadores de segurança agora demonstrou como aplicativos de terceiros podem facilmente escutar usuários e informações sensíveis a phishing de voz, como senhas.
Pesquisadores do SRLabs da Alemanha encontraram dois cenários de hackers - espionagem e phishing - para os dispositivos Amazon Alexa e Google Home / Nest. Eles criaram oito aplicativos de voz (Skills for Alexa e Actions for Google Home) para demonstrar os hacks que transformam esses alto-falantes inteligentes em espiões inteligentes. Os aplicativos de voz maliciosos criados pelo SRLabs passaram facilmente pelos processos de triagem individuais da Amazon e do Google.
Diferentes abordagens foram usadas para escutar os usuários do Amazon Alexa e do Google Home e para obter informações de phishing deles. Os pesquisadores foram capazes de alterar a funcionalidade das habilidades e ações que eles criaram para hackers depois que a Amazon e o Google aprovaram os aplicativos. Não houve segunda rodada de revisões após a realização das alterações.
Senhas de phishing de voz nos alto-falantes Amazon Echo e Google Home
No vídeo abaixo, você vê como um usuário pede ao Alexa para iniciar uma habilidade chamada My Lucky Horoscope. Essa é uma habilidade maliciosa do Alexa criada e modificada pelo SRLabs para phishing de senhas.
O aplicativo não dá as boas-vindas e, em vez disso, responde dizendo: "Atualmente, essa habilidade não está disponível no seu país". Nesse momento, um usuário presumiria que o aplicativo parou de ouvir, mas realmente não o fez. Em vez disso, a habilidade foi hackeada para dizer uma sequência de caracteres que Alexa não pode pronunciar; portanto, o falante permanece em silêncio quando está realmente parado e ouvindo.
A habilidade reproduz um ditado de phishing: “Uma nova atualização está disponível para o seu dispositivo Alexa. Por favor, diga começar seguido por sua senha. ”Embora a Amazon nunca solicite senhas dessa maneira, os usuários que desconhecem podem ser pegos de surpresa.
Uma abordagem semelhante foi usada para senhas de phishing de voz em um alto-falante do Google Home Mini.
Escutando os usuários através dos alto-falantes Amazon Echo e Google Home
Para escutar, os pesquisadores usaram o mesmo aplicativo de horóscopo para o alto-falante inteligente da Amazon. O aplicativo leva o usuário a acreditar que foi interrompido enquanto escuta silenciosamente em segundo plano.
Para o Google Home, o hack foi ainda mais fácil e não havia necessidade de especificar palavras-chave para espionar. Os pesquisadores observam que, nesse caso, o usuário é colocado em um loop, pois "o dispositivo envia constantemente entradas de voz para o servidor do hacker enquanto produz breves silêncios no meio".
O SRLabs retirou todos os aplicativos demonstrados nos vídeos mostrados acima. Os pesquisadores também relataram suas descobertas à Amazon e ao Google.
Conforme Ars Technica, as duas empresas responderam dizendo que estão mudando seus processos de aprovação e adotando mecanismos adicionais para evitar esses hacks no futuro.
No entanto, não há nenhuma atualização da Amazon ou do Google para dizer quando esses problemas serão corrigidos. Também não há como saber se uma habilidade ou ação utilizou mal essas brechas no passado.
