Хакер #305. Многошаговые SQL-инъекции
В конце прошлой недели бельгийский вещатель VRT NWS сообщил, что в распоряжении редакции оказались 1000 записей переговоров пользователей с голосовым ассистентом Google Assistant, который используется в «умных» девайсах Google Home, Android-устройствах и Chromebook. Так как записи содержали различную конфиденциальную информацию (адреса, имена и так далее), журналистам удалось «опознать» и найти некоторых из фигурировавших на записях людей, и те подтвердили, что аудио действительно содержит их голоса и личную информацию.
Хотя обращение к Google Assistant должно начинаться с ключевых фраз «OK, Google» или «Hey, Google», по данным VRT NWS, 153 из 1000 записей были сделаны без этих команд и являлись обычными разговорами, которые вообще не должны были фиксироваться. Так, журналисты обнаружили «разговоры в спальне, разговоры между родителями и детьми, скандалы и рабочие телефонные звонки, содержащие много личной информации».
Вскоре представители Google были вынуждены опубликовать официальный ответ на случившееся в блоге компании. Как оказалось, утечку данных голландских пользователей допустил один из подрядчиков Google, нарушивший правила безопасности и конфиденциальности. Дело в том, что компания действительно передает аудиозаписи пользователей сторонним компаниям-подрядчикам, где с ними работают эксперты, разбираясь в нюансах разных языков и акцентов, транскрибируют отдельные отрывки и тем самым помогают обучать Google Assistant.
По заверениям разработчиков, в руки сторонних экспертов попадают лишь 0,2% всех записей. Причем эти записи не связаны с аккаунтами конкретных людей, и рецензенты должны не расшифровывать фоновые разговоры или прочие не относящиеся к делу шумы. Тем не менее, разработчики признают, что порой Google Assistant может ошибаться и принимать какой-то фоновый шум или слово в разговоре за команду «OK, Google», после чего устройство начинает «слушать» и записывать.
В Google заверили, что специалисты компании уже занимаются расследованием инцидента и обязательно примут необходимые меры.
Также пользователям напоминают о том, что они могут настроить управление данными Google Assistant самостоятельно, удалять историю «общения» с помощником раз в 3 или 18 месяцев автоматически, или же стереть информацию вручную.
Отмечу, что ранее в июле 2019 года выяснилось, что компания Amazon может хранить разговоры пользователей с ассистентом Alexa бессрочно, а их расшифровки могут сохраняться на серверах компании даже после удаления самой аудиозаписи пользователем.