Pesquisadores de segurança da SRLabs revelaram uma nova vulnerabilidade que afeta os alto-falantes inteligentes do Google e da Amazon, permitindo que hackers espionem ou mesmo phishing usuários desavisados. Ao fazer o upload de um software malicioso disfarçado de Alexa Skill ou Ação do Google inócuo, os pesquisadores mostraram como você pode fazer com que os alto-falantes inteligentes gravem silenciosamente os usuários, ou mesmo solicite a senha da sua conta do Google.
A vulnerabilidade é um bom lembrete para manter um olhar atento sobre o software de terceiros que você usa com seus assistentes de voz e excluir qualquer um que provavelmente não será usado novamente sempre que possível. No entanto, não há evidências de que essa vulnerabilidade tenha sido explorada no mundo real, e a SRLabs divulgou suas descobertas à Amazon e ao Google antes de torná-las públicas.
Em uma série de vídeos, a equipe da SRLabs mostrou como os hacks funcionam. Uma, uma ação para a Página inicial do Google , permite que o usuário solicite a geração de um número aleatório. A ação faz exatamente isso, mas o software continua ouvindo muito tempo depois de executar seu comando inicial. Outra, uma habilidade horóscopo aparentemente inócua para Alexa , consegue ignorar um comando de ‘parada’ dado pelo usuário e continuar ouvindo silenciosamente. Dois mais vídeos mostram como ambos os alto-falantes podem ser manipulados em dar falsas mensagens de erro, apenas para tubo até um minuto depois com outra mensagem falsa para pedir a senha do usuário.
Em todos os casos, a equipe conseguiu explorar uma falha nos dois assistentes de voz, o que lhes permitiu continuar ouvindo por muito mais tempo que o normal. Eles fizeram isso alimentando os assistentes com uma série de caracteres que eles não podem pronunciar, o que significa que eles não dizem nada e continuam a ouvir outros comandos. Tudo o que o usuário diz é automaticamente transcrito e enviado diretamente ao hacker.
O software de terceiros para qualquer alto-falante inteligente deve ser verificado e aprovado pelo Google ou Amazon antes de poder ser usado com seus alto-falantes inteligentes. No entanto, o ZDNet observa que as empresas não verificam as atualizações dos aplicativos existentes, o que permitiu que os pesquisadores introduzissem códigos maliciosos em seus softwares, acessíveis aos usuários.
Em um comunicado fornecido à Ars Technica , a Amazon disse que implementou novas mitigações para impedir e detectar habilidades de poder fazer esse tipo de coisa no futuro. Ele disse que reduz as habilidades sempre que esse tipo de comportamento é identificado. O Google também disse à Ars que possui processos de revisão para detectar esse tipo de comportamento e removeu as ações criadas pelos pesquisadores de segurança. Um porta-voz também confirmou à publicação que a empresa está conduzindo uma revisão interna de todas as ações de terceiros e desativou temporariamente algumas ações enquanto isso estava ocorrendo.
Como observa o ZDNet , essa não é a primeira vez que vimos dispositivos Alexa ou Google Home transformados em ferramentas de phishing e interceptadores por pesquisadores de segurança, mas é preocupante que novas vulnerabilidades continuem a ser descobertas, especialmente nos aspectos de segurança e privacidade de ambos. os dispositivos estão sob crescente escrutínio . Por enquanto, é melhor tratar software de assistente de voz de terceiros com o mesmo cuidado que você deve usar com extensões de navegador e se envolver apenas com software de empresas nas quais você confia o suficiente para entrar em sua casa.