Os hacks Alexa e Google Assistant permitem que os falantes inteligentes escutem façam phishing por voz
Alto-falantes inteligentes como Amazon Echo ou Google Home certamente podem ser ferramentas úteis, mas junto com essa utilidade também surgem uma série de preocupações com a segurança. Essas preocupações foram bem estabelecidas desde que esses alto-falantes inteligentes chegaram ao mercado e, hoje, uma equipe de pesquisadores de segurança está soando o alarme de explorações que afetam os dispositivos Google Home e Amazon Echo que os desenvolvedores podem usar para espionar usuários ou phishing para obter informações pessoais..
O Security Research Labs, com sede em Berlim, detalhou ambas as explorações em um extenso relatório publicado em seu site. Ele está chamando esse par de explorações de hackers de “espiões inteligentes” e desenvolveu uma coleção de aplicativos para demonstrar não apenas como os ataques são realizados, mas também o fato de que as habilidades ou aplicativos que transportam essas explorações podem contornar os processos de aprovação da Amazon e do Google.
O primeiro hack do Smart Spies envolve phishing da senha de um usuário usando alertas falsos de atualização. Como o Security Research Labs explica, essa exploração depende do fato de que, uma vez que uma habilidade ou aplicativo é aprovada pelo Google ou pela Amazon, alterar sua funcionalidade não aciona uma segunda revisão. Com isso em mente, o Security Research Labs construiu aplicativos que usam a palavra "start" para acionar funções.
Depois que o aplicativo inócuo foi aprovado pela Amazon e pelo Google, o Security Research Labs voltou e alterou a mensagem de boas-vindas do aplicativo para uma mensagem de erro falsa - “Essa habilidade está atualmentenão está disponível no seu país "- para fazer com que os usuários acreditem que o aplicativo não foi iniciado e não está mais ouvindo.A partir daí, o Security Research Labs fez o aplicativo "dizer" a sequência de caracteres para "�". Como a sequência é impronunciável, o orador fica em silêncio por um período de tempo, reforçando a noção de que nem o aplicativo nem o orador estão atualmente ativos.
Após um período razoável de silêncio, o aplicativo reproduz um alerta de atualização falso com uma voz semelhante à usada pelo Alexa ou pelo Google Assistant. Nos vídeos que você vê acima, esse alerta faz parecer que há uma atualização disponível para o alto-falante inteligente e os usuários devem solicitar que o alto-falante o instale dizendo "Iniciar atualização" seguido de sua senha. Como "iniciar" é uma palavra acionadora nesse caso, o invasor captura a senha do usuário enquanto a vítima não tem idéia de que acabou de fornecer credenciais de login a terceiros mal-intencionados.
Muitos de nós sabemos que a Amazon e o Google não solicitarão sua senha via Alexa ou pelo Assistente, mas esse truque afeta a ignorância de usuários que não sabem disso. Escusado será dizer que, se o seu alto-falante inteligente solicitar informações pessoais, como senhas ou números de cartão de crédito, não desista dessas informações.
O segundo truque dos Smart Spies é ainda mais preocupante, pois pode permitir que o seu alto-falante inteligente continue ouvindo as conversas quando você acha que parou um aplicativo.O processo de execução desse ataque é um pouco diferente para os dispositivos Echo e Google Home, mas ambos os ataques dependem de alterar a maneira como um aplicativo funciona depois de ter sido aprovado pela Amazon ou pelo Google.
Nos dois casos, o ataque é realizado levando o usuário a acreditar que parou um aplicativo enquanto, na realidade, ele ainda está sendo executado silenciosamente. Mais uma vez, a sequência de caracteres "�," é usada e, nos dispositivos Echo, é nesse momento que o aplicativo começa a ouvir palavras-chave comuns, como "I", embora essas palavras-chave possam ser definidas pelo atacante.O aplicativo escuta por alguns segundos depois que o usuário dá o comando "stop" e, se o usuário falar uma frase que começa com essa palavra acionadora, o conteúdo dessa conversa será enviado aos servidores do invasor.
Na página inicial do Google, essa exploração de espionagem tem o potencial de ser executada indefinidamente, e não apenas escuta os usuários continuamente, mas também envia outros comandos "OK Google"o usuário tenta executar para os atacantes. Isso significa que a exploração pode ser usada para encenar ataques intermediários quando proprietários de alto-falantes inteligentes tentam usar outro aplicativo.
O Security Research Labs relatou essas explorações ao Google e à Amazon antes de publicar seu relatório, no qual afirma que as duas empresas precisam implementar melhor proteção para os usuários finais.O ponto central das críticas do SRLabs é o processo de aprovação falho empregado pela Amazon e pelo Google, embora os pesquisadores também acreditem que o Google e a Amazon devam agir contra aplicativos que usam caracteres impronunciáveis ou mensagens silenciosas de SSML.
O SRLabs acredita que a Amazon e o Google deveriam proibir o texto de saída que também inclui “senha”, já que não há motivo real para os aplicativos solicitarem isso em primeiro lugar. No final, porém, o SRLabs também diz que os usuários devem abordar novas habilidades e aplicativos de alto-falante inteligente com certa cautela, pois esse relatório deixa claro que os atacantes criativos podem fazer muito enquanto evitam a atenção da Amazon e do Google.
Via: Slash Gear
Nenhum comentário