Amazon Alexa и Google Home могут использоваться для прослушки пользователей

Смарт-динамики компаний Amazon и Google способны предоставлять разную информацию на основе поступающих от пользователей голосовых запросов. Возможности устройств могут расширить приложения сторонних разработчиков, которые называются "навыки" или "skills" для Alexa и "действия" или "actions" для Google Home. Оказалось, что некоторые из этих приложений использовались для прослушки пользователей и кражи их паролей.

Исследование специалистов из SRLabs позволило выявить два возможных сценария атаки, которые применимы как к Amazon Alexa, так и к Google Home. Фишинговые приложения могут запрашивать и запоминать личные данные, в том числе пароли, а также вести прослушку в том время, когда пользователь считает устройство неактивным. В рамках исследования специалисты создали собственные голосовые приложения, которые позволили превратить смарт-динамики в настоящих шпионов.

Путем добавления определенной последовательности символов в разные места бэкенда голосового приложения для смарт-динамика исследователи добились продолжительных периодов молчания, в течение которых устройство продолжает оставаться активным. Такой подход может использоваться для фишинговых атак. К примеру, пользователь запускает вредоносное приложение-гороскоп, которое продолжает оставаться активным даже после завершения взаимодействия с ним. Спустя некоторое время оно запрашивает пользовательские учетные данные, сообщая о том, что якобы следует обновить программное обеспечение устройства.

Для прослушивания и записи пользовательских разговоров применяется такая же комбинация символов, используемая уже после того, как приложение ответило на голосовую команду. За счет этого приложение способно поддерживать устройство в активном состоянии, осуществляя запись всех разговоров в окружающем пространстве. Собранные таким образом записи логируются и пересылаются на подконтрольный злоумышленникам сервер для последующей обработки.