Специалисты SRLabs рассказали о ряде проблем в Alexa и Google Home, которые разработчики Google не могут устранить уже несколько месяцев. Голосовых помощников могут использовать злоумышленники, чтобы подслушивать разговоры или обманом узнавать у пользователей конфиденциальную информацию.
В сущности, угрозу представляют вредоносные приложения, разработанные третьими лицами. Сами исследователи создали восемь приложений: четыре «навыка» (skills) для Alexa и четыре «действия» (actions) для Google Home. Все они прошли проверки безопасности Amazon и Google и маскировались под простые приложения для проверки гороскопов, за исключением одного приложения, замаскированного под генератор случайных чисел. На деле эти приложения тайком подслушивали пользователей или пытались похитить их пароли.
Фишинговые и шпионские векторы атак связаны с бэкэндами Amazon и Google, которые компании предоставляют разработчикам приложений. Так, девелоперы получают доступ к функциям, которые могут использовать для настройки команд голосового помощника и его ответов. Эксперты обнаружили, что добавлением последовательности «�. » (U+D801, точка, пробел) может вызывать длительные периоды молчания, в течение которых помощник, тем не менее, останется активен.
Идея исследователей заключалась в том, чтобы сообщить пользователю о фиктивном сбое приложения, добавив к этому «�. ». В итоге возникнет длительная пауза, и через несколько минут пользователю будет направлено новое фишинговое сообщение, что заставит жертву поверить, что это фишинговое сообщение никак не связано с предыдущими. К примеру, видеоролики ниже демонстрируют, как приложение гороскопа сообщает об ошибке, но на самом деле остается активным, в конечном итоге запрашивая у пользователя пароль от Amazon или Google, сфальсифицировав сообщение об обновлении.
В первом ролике можно заметить, что синий индикатор состояния Alexa остается активным и не выключается, а значит, предыдущее приложение еще активно и по-прежнему пытается разобраться с «�. ».
Также комбинация «�. » может использоваться для прослушивания пользователей. В данном случае сочетание символов применяется уже после того, как вредоносное приложение ответило на команду владельца устройства. На этот раз «�. » используется для поддержания активности устройства и записи окружающих разговоров, которые сохраняются в логах и отправляются на сервер злоумышленников для обработки. Демонстрацию таких атак показывают два ролика ниже.
По сути, корень проблемы заключается в том, что Amazon и Google изначально проверяют приложения для Alexa и Google Home, однако не проверяют их последующие обновления. Хуже того, эксперты SRLabs пишут, что уведомили обоих производителей о проблемах еще в начале текущего года, однако те до сих пор ничего не предприняли и не запретили использование длинные пауз, которые можно создать при помощи «�. ».
Теперь, когда отчет экспертов был обнародован, и происходящим заинтересовались СМИ, Amazon и Google поспешили удалить вредоносные приложения и сообщили, что уже приняли необходимые меры и намерены пересмотреть процессы утверждения «навыков» и «действий», чтоб подобное более не повторялось.
В Google отмечают, что сейчас компания и так запрещает и удаляет любые «действия», нарушающие правила, а также имеет механизмы для выявления определенных типов поведения приложений (подобным описанным исследователями) и его пересечения. Также в Amazon и Google подчеркнули, что устройства ни при каких обстоятельствах не должны и запрашивать у пользователей пароли от учетной записи.