Ερευνητές ανακάλυψαν ότι η Amazon Alexa και ο Google Home smart assistant μπορούν να χακαριστούν από εγκληματίες του κυβερνοχώρου για την παρακολούθηση των συνομιλιών των χρηστών (χωρίς να το γνωρίζουν εκείνοι). Επιπλέον, οι hackers μπορούν να εξαπατήσουν τους χρήστες, ώστε να δώσουν κάποιες ευαίσθητες πληροφορίες.
Η Alexa και το Google Home έχουν βρεθεί ξανά στο στόχαστρο παρόμοιων επιθέσεων. Τον Απρίλιο και τον Αύγουστο του 2018, οι hackers παραβίασαν την Alexa. Τον Μάιο του 2018, δέχτηκαν επίθεση οι Google Home συσκευές.
Κάθε φορά που γίνεται μια επίθεση, οι δύο εταιρείες (Amazon και Google) παρέχουν διορθώσεις. Ωστόσο, οι εγκληματίες βρίσκουν συνεχώς νέους τρόπους να εκμεταλλεύονται τους smart assistants.
Οι τελευταίες παραβιάσεις έγιναν γνωστές τώρα. Ανακαλύφθηκαν από τους ερευνητές της Security Research Labs (SRLabs), Luise Frerichs και Fabian Bräunlein, νωρίτερα αυτό το έτος.
Για την πραγματοποίηση των phishing επιθέσεων και της παρακολούθησης συνομιλιών γίνεται εκμετάλλευση του backend, που παρέχουν οι Amazon και Google στους προγραμματιστές των Alexa ή Google Home custom apps.
Τα backends δίνουν πρόσβαση σε λειτουργίες που χρησιμοποιούνται από τους προγραμματιστές για την προσαρμογή των εντολών στις οποίες απαντά ένας έξυπνος βοηθός αλλά και για τον καθορισμό του τρόπου με τον οποίο απαντά.
Οι ερευνητές ανακάλυψαν ότι οι hackers προσθέτουν μια ακολουθία χαρακτήρων (U + D801, τελεία, κενό) σε διάφορα σημεία μέσα στο backend μιας εφαρμογής Alexa / Google Home. Με αυτόν τον τρόπο, μπορούν να προκαλέσουν μεγάλες περιόδους σιωπής (περιόδους δηλαδή, κατά τις οποίες ο assistant δεν ανταποκρίνεται). Ωστόσο, ο assistant παραμένει ενεργός.
Η διαδικασία κλοπής δεδομένων έχει ως εξής: ο χρήστης ρωτά κάτι τον assistant, εκείνος απαντά ότι υπάρχει κάποιος λάθος και δεν μπορεί να ανταποκριθεί. Έπειτα εισάγεται η ακολουθία χαρακτήρων (που είδαμε πιο πάνω). Υπάρχει μια περίοδος σιωπής και μετά από λίγα λεπτά έρχεται ένα μήνυμα (phishing μήνυμα), το οποίο υποτίθεται ότι δεν έχει καμία σχέση με την προηγούμενη αποτυχημένη εντολή.
Στο μήνυμα, μπορεί να ζητηθεί από τον χρήστη ο κωδικός πρόσβασης (Amazon / Google), ο οποίος υποτίθεται ότι χρειάζεται για την εγκατάσταση μιας ενημέρωσης.
Μια ένδειξη του ότι ο assistant παραμένει ενεργός μετά από μια αποτυχημένη απάντηση είναι ότι το φωτάκι παραμένει αναμμένο. Αυτό σημαίνει ότι επεξεργάζεται δεδομένα και ότι το phishing μήνυμα αποτελεί συνέχεια της αποτυχημένης απάντησης. Δεν είναι άσχετα μεταξύ τους.
Παρακολούθηση συνομιλιών
Η παραπάνω ακολουθία χαρακτήρων μπορεί να χρησιμοποιηθεί και για την παρακολούθηση συνομιλιών, πέρα από τις phishing επιθέσεις. Σε αυτή την περίπτωση, όμως, εισάγεται μετά από μια επιτυχημένη απόκριση στην εντολή ενός χρήστη.
Στόχος είναι να παραμείνει η συσκευή ενεργή, ώστε να καταγράψει τις συνομιλίες του χρήστη. Οι συνομιλίες αποθηκεύονται και αποστέλλονται στον server των εγκληματιών.
Οι ερευνητές της SRLabs ανέφεραν ότι ενημέρωσαν τη Google και την Amazon για αυτό το ζήτημα νωρίτερα αυτό το χρόνο. Ωστόσο, καμία από τις δύο δεν έχει επιλύσει ακόμα το θέμα.
“Η εύρεση και η αντιμετώπιση απροσδόκητης συμπεριφοράς, όπως οι μεγάλες παύσεις, θα πρέπει να είναι σχετικά απλές διαδικασίες”, δήλωσε η ερευνητική ομάδα. “Έχουμε εκπλαγεί από το γεγονός ότι δεν έχει συμβεί τίποτα ακόμα, ενώ έχουμε αναφέρει τις ευπάθειες πριν από αρκετούς μήνες”.
Η Amazon δεν έχει σχολιάσει κάτι σχετικά με τη αναφορά των ερευνητών. Από την άλλη μεριά, ένας εκπρόσωπος της Google είπε ότι η εταιρεία εργάζεται πάνω στο ζήτημα και θέτει πρόσθετους μηχανισμούς για να αποτρέψει την εμφάνιση παρόμοιων θεμάτων στο μέλλον.
Η Google είπε, επίσης, στους χρήστες του Home assistant να μην απαντούν σε ερωτήσεις, που ζητούν κωδικούς πρόσβασης ή παρόμοια στοιχεία, γιατί η εταιρεία ποτέ δεν θα ζητούσε κάτι τέτοιο. Τέτοιες ερωτήσεις δείχνουν ότι συμβαίνει κάτι ύποπτο.
