Pesquisadores de segurança expõem a nova vulnerabilidade do Alexa e do Google Home

[ad_1]

  

Os pesquisadores de segurança da SRLabs divulgaram uma nova vulnerabilidade que afeta os alto-falantes inteligentes do Google e da Amazon que poderiam permitir que hackers espionassem ou mesmo phishing usuários desavisados. Ao fazer o upload de um software malicioso disfarçado de Alexa Skill ou Ação do Google inócuo, os pesquisadores mostraram como você pode fazer com que os alto-falantes inteligentes gravem usuários silenciosamente, ou até mesmo pedir a senha da sua conta do Google.

A vulnerabilidade é um bom lembrete para acompanhar de perto o software de terceiros que você usa com seus assistentes de voz e excluir o que provavelmente não será utilizado novamente sempre que possível. No entanto, não há evidências de que essa vulnerabilidade tenha sido explorada no mundo real, e a SRLabs divulgou suas descobertas à Amazon e ao Google antes de torná-las públicas.

Em uma série de vídeos, a equipe da SRLabs mostrou como os hacks funcionam. Uma, uma ação para a Página inicial do Google permite que o usuário solicite a geração de um número aleatório. A ação faz exatamente isso, mas o software continua ouvindo muito tempo depois de executar seu comando inicial. Outro, uma habilidade aparentemente inócua no horóscopo para Alexa consegue ignorar um comando de "parada" dado pelo usuário e continuar ouvindo silenciosamente. Dois mais vídeos mostram como os dois alto-falantes podem ser manipulados para fornecer mensagens de erro falsas, apenas para aparecer um minuto depois com outra mensagem falsa para solicitar a senha do usuário.

Em todos os casos, a equipe conseguiu explorar uma falha nos dois assistentes de voz, o que lhes permitiu continuar ouvindo por muito mais tempo que o normal. Eles fizeram isso alimentando os assistentes com uma série de caracteres que eles não podem pronunciar, o que significa que eles não dizem nada e continuam a ouvir outros comandos. Tudo o que o usuário diz é automaticamente transcrito e enviado diretamente ao hacker.

O software de terceiros para qualquer alto-falante inteligente deve ser verificado e aprovado pelo Google ou Amazon antes de poder ser usado com seus alto-falantes inteligentes. No entanto, ZDNet observa que as empresas não verificam as atualizações dos aplicativos existentes, o que permitiu aos pesquisadores ocultar códigos maliciosos em seus softwares que são acessíveis aos usuários.

Em uma declaração fornecida a Ars Technica a Amazon disse que implementou novas mitigações para impedir e detectar habilidades de poder fazer esse tipo de coisa no futuro. Ele disse que reduz as habilidades sempre que esse tipo de comportamento é identificado. O Google também disse a Ars que possui processos de revisão para detectar esse tipo de comportamento e removeu as ações criadas pelos pesquisadores de segurança. Um porta-voz também confirmou à publicação que a empresa está conduzindo uma revisão interna de todas as ações de terceiros e desativou temporariamente algumas ações enquanto isso estava ocorrendo.

Como ZDNet observa esta não é a primeira vez que vimos dispositivos Alexa ou Google Home transformados em ferramentas de phishing e interceptação por pesquisadores de segurança, mas é preocupante que novas as vulnerabilidades continuam a ser descobertas, especialmente quando os aspectos de segurança e privacidade de ambos os dispositivos estão sendo analisados ​​ aumentado escrutínio . Por enquanto, é melhor tratar software de assistente de voz de terceiros com o mesmo cuidado que você deve usar com extensões de navegador e se envolver apenas com software de empresas nas quais você confia o suficiente para entrar em sua casa.

[ad_2]

Source link



Os comentários estão desativados.