Παρασκευή, 10 Απριλίου, 06:09
Αρχική security Alexa-Google Home: Ευάλωτα ξανά σε phishing επιθέσεις και παρακολούθηση συνομιλιών

Alexa-Google Home: Ευάλωτα ξανά σε phishing επιθέσεις και παρακολούθηση συνομιλιών

Google Ερευνητές ανακάλυψαν ότι η Amazon Alexa και ο Google Home smart assistant μπορούν να χακαριστούν από εγκληματίες του κυβερνοχώρου για την παρακολούθηση των συνομιλιών των χρηστών (χωρίς να το γνωρίζουν εκείνοι). Επιπλέον, οι hackers μπορούν να εξαπατήσουν τους χρήστες, ώστε να δώσουν κάποιες ευαίσθητες πληροφορίες.

Η Alexa και το Google Home έχουν βρεθεί ξανά στο στόχαστρο παρόμοιων επιθέσεων. Τον Απρίλιο και τον Αύγουστο του 2018, οι hackers παραβίασαν την Alexa. Τον Μάιο του 2018, δέχτηκαν επίθεση οι Google Home συσκευές.

Κάθε φορά που γίνεται μια επίθεση, οι δύο εταιρείες (Amazon και Google) παρέχουν διορθώσεις. Ωστόσο, οι εγκληματίες βρίσκουν συνεχώς νέους τρόπους να εκμεταλλεύονται τους smart assistants.

Οι τελευταίες παραβιάσεις έγιναν γνωστές τώρα. Ανακαλύφθηκαν από τους ερευνητές της Security Research Labs (SRLabs), Luise Frerichs και Fabian Bräunlein, νωρίτερα αυτό το έτος.

Για την πραγματοποίηση των phishing επιθέσεων και της παρακολούθησης συνομιλιών γίνεται εκμετάλλευση του backend, που παρέχουν οι Amazon και Google στους προγραμματιστές των Alexa ή Google Home custom apps.

Τα backends δίνουν πρόσβαση σε λειτουργίες που χρησιμοποιούνται από τους προγραμματιστές για την προσαρμογή των εντολών στις οποίες απαντά ένας έξυπνος βοηθός αλλά και για τον καθορισμό του τρόπου με τον οποίο απαντά.

- Advertisement -

Οι ερευνητές ανακάλυψαν ότι οι hackers προσθέτουν μια ακολουθία χαρακτήρων (U + D801, τελεία, κενό) σε διάφορα σημεία μέσα στο backend μιας εφαρμογής Alexa / Google Home. Με αυτόν τον τρόπο, μπορούν να προκαλέσουν μεγάλες περιόδους σιωπής (περιόδους δηλαδή, κατά τις οποίες ο assistant δεν ανταποκρίνεται). Ωστόσο, ο assistant παραμένει ενεργός.

Η διαδικασία κλοπής δεδομένων έχει ως εξής: ο χρήστης ρωτά κάτι τον assistant, εκείνος απαντά ότι υπάρχει κάποιος λάθος και δεν μπορεί να ανταποκριθεί. Έπειτα εισάγεται η ακολουθία χαρακτήρων (που είδαμε πιο πάνω). Υπάρχει μια περίοδος σιωπής και μετά από λίγα λεπτά έρχεται ένα μήνυμα (phishing μήνυμα), το οποίο υποτίθεται ότι δεν έχει καμία σχέση με την προηγούμενη αποτυχημένη εντολή.

Στο μήνυμα, μπορεί να ζητηθεί από τον χρήστη ο κωδικός πρόσβασης (Amazon / Google), ο οποίος υποτίθεται ότι χρειάζεται για την εγκατάσταση μιας ενημέρωσης.

Μια ένδειξη του ότι ο assistant παραμένει ενεργός μετά από μια αποτυχημένη απάντηση είναι ότι το φωτάκι παραμένει αναμμένο. Αυτό σημαίνει ότι επεξεργάζεται δεδομένα και ότι το phishing μήνυμα αποτελεί συνέχεια της αποτυχημένης απάντησης. Δεν είναι άσχετα μεταξύ τους.

Παρακολούθηση συνομιλιών

Η παραπάνω ακολουθία χαρακτήρων μπορεί να χρησιμοποιηθεί και για την παρακολούθηση συνομιλιών, πέρα από τις phishing επιθέσεις. Σε αυτή την περίπτωση, όμως, εισάγεται μετά από μια επιτυχημένη απόκριση στην εντολή ενός χρήστη.

Στόχος είναι να παραμείνει η συσκευή ενεργή, ώστε να καταγράψει τις συνομιλίες του χρήστη. Οι συνομιλίες αποθηκεύονται και αποστέλλονται στον server των εγκληματιών.

Οι ερευνητές της SRLabs  ανέφεραν ότι ενημέρωσαν τη Google και την Amazon για αυτό το ζήτημα νωρίτερα αυτό το χρόνο. Ωστόσο, καμία από τις δύο δεν έχει επιλύσει ακόμα το θέμα.

“Η εύρεση και η αντιμετώπιση απροσδόκητης συμπεριφοράς, όπως οι μεγάλες παύσεις, θα πρέπει να είναι σχετικά απλές διαδικασίες”, δήλωσε η ερευνητική ομάδα. “Έχουμε εκπλαγεί από το γεγονός ότι δεν έχει συμβεί τίποτα ακόμα, ενώ έχουμε αναφέρει τις ευπάθειες πριν από αρκετούς μήνες”.

Η Amazon δεν έχει σχολιάσει κάτι σχετικά με τη αναφορά των ερευνητών. Από την άλλη μεριά, ένας εκπρόσωπος της Google είπε ότι η εταιρεία εργάζεται πάνω στο ζήτημα και θέτει πρόσθετους μηχανισμούς για να αποτρέψει την εμφάνιση παρόμοιων θεμάτων στο μέλλον.

Η Google είπε, επίσης, στους χρήστες του Home assistant να μην απαντούν σε ερωτήσεις, που ζητούν κωδικούς πρόσβασης ή παρόμοια στοιχεία, γιατί η εταιρεία ποτέ δεν θα ζητούσε κάτι τέτοιο. Τέτοιες ερωτήσεις δείχνουν ότι συμβαίνει κάτι ύποπτο.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

loopfs: Θα μπορούσε να είναι το νέο σύστημα αρχείων του Linux;

Το Linux υποστηρίζει αρκετά συστήματα αρχείων, όπως EXT4, F2FS, Btrfs και XFS. Αυτά τα συστήματα επαρκούν όταν...

Έρευνα: Οι έφηβοι προτιμούν τα iPhones από τα κινητά Samsung

Σύμφωνα με έρευνα που διεξάγεται κάθε έξι μήνες με στόχο να καταγράψει τις συνήθειες των εφήβων, oι νέοι δεν επιλέγουν κινητά Samsung....

Bill Gates: Τα σχολεία ανοίγουν το φθινόπωρο και η οικονομία καταστρέφεται

Ο Bill Gates πιστεύει ότι τα σχολεία θα μπορέσουν να ανοίξουν το φθινόπωρο, δήλωσε σε συνέντευξή του στο Becky Quick στο CNBC.

Μουσείο Τηλεπικοινωνιών Ομίλου ΟΤΕ: Εκπαιδευτικά προγράμματα και ψυχαγωγικές δράσεις από το σπίτι για παιδιά 4-12 ετών και όλη την οικογένεια

Εκπαιδευτικά προγράμματα και ψυχαγωγικές δράσεις για παιδιά και οικογένειες, στις οποίες μπορούν συμμετάσχουν από το σπίτι, προσφέρει το Μουσείο Τηλεπικοινωνιών του Ομίλου...

Microsoft: Κυκλοφόρησε τις ενημερώσεις του Απριλίου 2020 για το Office

Η Microsoft κυκλοφόρησε τις non-security ενημερώσεις του Απριλίου 2020 για το Microsoft Office, οι οποίες περιλαμβάνουν διορθώσεις για σφάλματα καθώς και βελτιώσεις...

To νέο Cheetah mode της Τesla προσφέρει κορυφαίες επιδόσεις

Το νέο Cheetah mode στο μοντέλο Tesla S ωθεί το ηλεκτρικό αυτοκίνητο από 0 στα 100 χλμ / ώρα γρηγορότερα από ότι...

Tails 4.5: Κυκλοφόρησε η νέα, πιο ασφαλής έκδοση!

Tails 4.5: Κυκλοφόρησε η νέα, πιο ασφαλής έκδοση- Το Tails, είναι ένα live λειτουργικό σύστημα βασισμένο στο...

Windows 10 λειτουργία βοηθά στη διαγραφή άχρηστων αρχείων και apps

Τα Windows 10 θα διευκολύνουν τη διαγραφή άχρηστων αρχείων και apps, παρουσιάζοντάς τα μαζεμένα σε μια λίστα.

Cloudflare: Σταματά να χρησιμοποιεί το reCAPTCHA της Google!

Η Cloudflare ανακοίνωσε ότι θα σταματήσει να χρησιμοποιεί το reCAPTCHA της Google και θα μεταβεί σε έναν νέο πάροχο εντοπισμού bot που...

Το Google Stadia Pro προσφέρεται δωρεάν για δύο μήνες! Ώρα για video games!

Η κατάσταση που βιώνουμε το τελευταίο διάστημα λόγω κορωνοϊού, είναι μια από τις πιο δύσκολες καταστάσεις των...