Mít doma digitálního asistenta schovaného v chytrém reproduktoru je pro stále víc uživatelů věc, bez které mají pocit, že se neobejdou. Je to však jako s jinou elektronikou, která je připojena k internetu. Zařízení může poslouchat, i když nemá.
Kvůli nově objevenému problému se nyní majitelé takových zařízení nemusí obávat jen toho, že jejich soukromou konverzaci může poslouchat externista nasmlouvaný výrobcem takových zařízení. Chybu v systému totiž může zneužít útočník.
Rok s Googlem v obýváku:dokáže šetřit čas, pobavit i naštvat. Česky ne  Google Home ještě neumí česky, ale jinak se jedná o překvapivě schopného pomocníka |
Chybu, o které informoval server ZDNET, se podařilo objevit dvěma bezpečnostním expertům ze společnosti Security Research Labs (SRLabs).
Problémy se týkají zařízení Google Home a Amazon Alexa. Oba tyto systémy totiž umožňují využívat aplikace třetích stran, které mají zlepšit schopnosti těchto asistentů. A právě jedna taková aplikace, která umožňuje odposlouchávat komunikaci, se podařilo výzkumníkům dostat do oficiální nabídky, aniž by byla zablokována kontrolními mechanismy obou společností.
Podvodné aplikace využívají funkce, které mohou vývojáři použít k úpravě příkazů, na které inteligentní pomocník reaguje, a způsobu, jakým asistent pracuje.
V tomto případě se jim podařilo obejít systém, který automaticky vypíná nahrávání přes mikrofony poté, co uživatel dokončí svůj požadavek.
„Je toho dosaženo použitím speciálního řetězce, který po dotazu nebo potvrzení vytvoří dlouhou pauzu – mikrofon zůstane během této doby zapnutý,“ popisují chybu experti pro ZDNET.
Díky této pauze může útočník také zjišťovat citlivé informace. Právě kvůli ní může uživatel nabýt dojmu, že dotaz, který reproduktor pokládá, už je třeba z hlavní aplikace. Bezpečnostní odborníci to demonstrovali na příkladu aplikace s horoskopem, která vyvolá chybu, ale pak zůstane aktivní a nakonec požádá uživatele o heslo k přístupu k účtu na Amazon nebo Google a tím předstírá, že je to standardní aktualizační zpráva od některé z těchto společností.
Výzkumníci se s těmito problémy obrátili na Google i Amazon již před několika měsíci a tvrdí, že obě společnosti se s těmito chybami nevypořádaly.
Každopádně v pozdějším vyjádření pro server se firmy obhajují, že se jejich asistenti nikdy neptají na heslo a že již zavedly kontrolní mechanizmy, které mají podobnému chování zabránit.
Podívejte se na náš velký test domácích asistentů:
13. dubna 2017 |
