[ad_1]
⭐
Не все должно быть платформой для чего-то еще, и это особенно верно в вашем умном доме. Хотя вы можете дополнить свои умные колонки навыками, действиями и приложениями — мы в основном говорим об устройствах Amazon Echo и Google Home — вам следует дважды подумать о том, что вы устанавливаете. Уязвимости, которые еще предстоит исправить ни одной из компаний, могут сделать вас уязвимыми для фишинга или прослушивания злоумышленниками.
Пока это не фантазии лазерная атака на этот раз исследователи Security Research Labs подтвердили, что уязвимости месячной давности связанные с тем, как голосовые команды обрабатываются динамиками Amazon и Google, еще предстоит исправить. В результате мошеннические приложения (которые обе компании, похоже, с трудом отлавливают) могут выманивать важную информацию о безопасности у ничего не подозревающих пользователей.
Вот SRLabs описание того, как приложение использует уязвимости:
1. Создайте, казалось бы, невинное приложение, которое включает в себя намерение, вызванное «стартом», которое принимает следующие слова в качестве значений слота (переменный пользовательский ввод, который перенаправляется в приложение). Это намерение ведет себя как резервное намерение.
2. Amazon или Google проверяют безопасность голосового приложения перед его публикацией. Мы меняем функциональность после этой проверки, что не требует повторной проверки. В частности, мы меняем приветственное сообщение на поддельное сообщение об ошибке, заставляя пользователя думать, что приложение не запущено. («Этот навык в настоящее время недоступен в вашей стране».) Теперь пользователь предполагает, что голосовое приложение больше не слушает.
3. Добавьте произвольно длинную звуковую паузу после сообщения об ошибке, заставив голосовое приложение «произнести» последовательность символов « . “ (U+D801, точка, пробел). Поскольку эта последовательность непроизносима, говорящий молчит, пока активен. Заставляя приложение «произносить» символы несколько раз, увеличивается продолжительность этой тишины.
4. Наконец, через некоторое время завершите молчание и воспроизведите фишинговое сообщение. («Для вашего устройства доступно важное обновление безопасности. Пожалуйста, скажите «Начать обновление», а затем введите свой пароль».). Все, что пользователь говорит после «старт», отправляется на серверную часть хакера. Это потому, что намерение, которое раньше действовало как резервное намерение, теперь сохраняет ввод пользователя для пароля в качестве значения слота».
В другом векторе атаки разработчик может создать подпрограмму прослушивания, отправив в качестве триггеров общие слова, такие как «адрес»; объедините это с ложным объявлением «стоп», например, когда ваш говорящий говорит «до свидания», и продлите время, в течение которого говорящий остается активным, используя «скрытый» трюк с персонажем из предыдущего. Если человек произносит триггерное слово в какой-то момент в течение этого длительного времени, говорящий записывает и отправляет все, что было сказано, разработчику.
Если это сложно понять, вот видео эксплойта в действии:
Тот же стиль взлома немного отличается на устройствах Google, но также более эффективен, поскольку триггерные слова не нужны (и период «подслушивания» может длиться вечно):
ТОП-3 ЛУЧШИХ КРЕДИТНЫХ КАРТ ДО 1 МЛН РУБЛЕЙ ДО 365 ДНЕЙ БЕЗ ПРОЦЕНТОВ!
Кредитная карта №1
- Беспроцентный период: 365 дней без процентов
- Кредитный лимит до 500 000 рублей
- Доставка и облуживание карты БЕСПЛАТНО!ПОДРОБНЕЕ >>>
Кредитная карта №2
- Беспроцентный период: до 365 дней без процентов
- Кредитный лимит до 1 000 000 рублей
- Доставка и облуживание карты БЕСПЛАТНО!ПОДРОБНЕЕ >>>
Кредитная карта №3
- Беспроцентный период: до 200 дней без % на всё: покупки, переводы, снятие наличных.
- Кредитный лимит до 1 000 000 рублей
- Доставка и обслуживание карты БЕСПЛАТНО!ПОДРОБНЕЕ>>>
Что делать с дополнительными навыками для вашего умного динамика
В то время как Amazon и Google якобы усиливают свои процессы проверки, чтобы выявлять навыки, действия и другие интеграции, которые пытаются использовать ваше устройство, дела идут не очень хорошо. В виде ThreatPost пишет, что удаленные приложения, использующие эти эксплойты, могут быть повторно отправлены (и даже одобрены). Это, а также весь аспект «приманки и подмены» — когда законный навык утверждается только для того, чтобы быть замененным кодом с более злонамеренным намерением — проблематичен сам по себе.
Наш совет? Придерживайтесь навыков и действий от известных разработчиков, которые уже проверены и проверены другими. Например, получить свои спортивные результаты от навык ESPN с множеством отзывов вместо какого-то случайного пользовательского «спортивного мастерства», созданного на прошлой неделе. Вы всегда можете добавить это в закладки и вернуться, чтобы проверить это позже, чтобы узнать, считают ли другие пользователи это законным или нет.
Самое главное, время от времени смотрите на свой умный динамик. Не думайте, что окончание ответа — будь то «звенящий» звук или какое-либо другое сообщение — означает, что ваш динамик закончил обработку команд. Знайте, что у вашего устройства физический сигналы и смотреть на это, а не кричать на него, когда вы активируете сторонние навыки. Если ваше устройство остается активным каким-то странным образом, это отличный признак того, что навык или действие, которое вы используете, могут потребовать дополнительного расследования.
Наконец, обрежьте свой навыки и умения и действия. Если вы не можете вспомнить, когда в последний раз использовали стороннее приложение или службу со своим умным динамиком, удалите его возможность доступа к вашему устройству (или связанной учетной записи). Не позволяйте накапливаться неиспользуемым интеграциям, потому что все, что нужно, — это сменить фокус, чтобы вызвать неприятности в вашей цифровой жизни.
[ad_2]