Les pirates ont utilisé Google Home et Amazon Alexa pour récupérer et enregistrer leurs mots de passe
Entamez une discussion sur les implications de la possession d'un haut-parleur intelligent, tel Alexa ou Amazon, sur la vie privée, et vous verrez probablement deux groupes de personnes bien définis se former presque immédiatement. La première affirmera que les haut-parleurs intelligents sont essentiellement des écoutes électroniques connectées à Internet qui peuvent être utilisées pour nous espionner et doivent donc être tenus aussi éloignés que possible de chez nous. L'autre groupe dira aux sceptiques de ranger leurs chapeaux en papier d'aluminium et de profiter de la commodité des gadgets high-tech de l' Internet des objets (IoT) .
Le fait qu'Amazon et Google aient vendu des millions d'appareils d'aide à domicile montre qu'il y a plus d'amateurs de haut-parleurs intelligents que d'adversaires. Les propriétaires d’Amazon Alexa et de Google Home voudront peut-être faire preuve de plus de prudence, car, il y a quelques jours, des experts de SRLabs ont publié un rapport qui montre que, dans ce cas particulier, les théories du complot pourraient ne pas être aussi lointaines. allé chercher.
Les haut-parleurs intelligents sont livrés avec quelques fonctionnalités utiles, en particulier si vous les connectez à d'autres appareils IoT. La fonctionnalité des assistants à domicile peut encore être étendue à l'aide d'applications (ou de compétences) tierces, et comme vous vous en doutez peut-être déjà, les chercheurs de SRLabs ont découvert non pas un, mais deux moyens d'abuser de ces applications tierces.
Table of Contents
Des compétences malveillantes en matière de haut-parleur intelligent peuvent voler les informations de connexion des utilisateurs
La première des deux attaques commence lorsque l'utilisateur demande à Alexa ou à Google Home de récupérer leur horoscope à l'aide d'une compétence développée par les chercheurs. Au lieu de lire l'horoscope, toutefois, l'application renvoie un message d'erreur indiquant que le service n'est pas disponible dans ce pays. Après environ une minute de silence, l'enceinte intelligente annonce soudainement qu'une mise à jour de sécurité est disponible et que son installation nécessite le mot de passe de l'utilisateur.
En réalité, il n'y a pas de mise à jour et l'ensemble de l'opération est conçu pour voler les informations d'identification de connexion des personnes. Après le message d'erreur, l'application d'horoscope malveillant alimente le moteur de synthèse vocale du locuteur intelligent avec une chaîne de caractères imprononçable - "�." (U + D801, point et espace), ce qui permet à l'assistant de rester silencieux pendant une période prédéfinie. de temps. Ceci est fait pour amener les gens à penser que l'application est fermée, ce qui est essentiel pour qu'ils sachent qu'une mise à jour est en attente. À partir de ce moment, le succès de l'attaque de phishing dépend du fait que l'utilisateur ignore ou non qu'un haut-parleur intelligent ne demandera jamais un mot de passe de cette manière. Lors de la seconde attaque de SRLabs, la compréhension par l'utilisateur du fonctionnement de ces périphériques joue un rôle moins important.
Des enceintes intelligentes peuvent être transformées en écoutes téléphoniques
Dans ce cas, la stratégie pour Amazon Alexa et Google Home était légèrement différente, mais le but était identique: espionner les utilisateurs furtivement.
Pour Alexa, les chercheurs ont développé une autre application Horoscope capable de lire l'horoscope. L’attaquant espère qu’à mi-parcours de l’explication de l’influence de Mercury sur notre vie personnelle, l’utilisateur se fatigue et donne la commande «Stop». Apparemment, l'application est conforme, et Alexa dit même "Au revoir". Comme vous l'avez peut-être deviné, toutefois, l'application n'a pas encore été fermée. En utilisant la même chaîne imprononçable (.), Les chercheurs désactivent le haut-parleur intelligent et l'application horoscope malveillant attend d'entendre un discours reconnaissable.. Tout ce qu'il enregistre est envoyé à l'attaquant.
Avec Google Home, SRLabs a mis en place une application de génération de nombres aléatoires qui a répondu à toutes les attentes. Après avoir généré le numéro, l'application dit également "Au revoir", et l'utilisateur est amené à croire qu'il est fermé. En réalité, la session reste ouverte et l'application attend de voir si quelque chose sera dit pendant une période prédéfinie. S'il entend quelque chose, il l'enregistre et l'envoie à l'attaquant. De manière inquiétante, les chercheurs ont déclaré que, dans de bonnes circonstances, la période d’écoute peut être prolongée indéfiniment.
Google et Amazon n'en ont pas assez fait pour contrôler les applications de haut-parleur intelligentes
L'intention de SRLabs n'était pas seulement de montrer à tout le monde comment on peut les phishing et les espionner en théorie. Ils voulaient voir si ces attaques pouvaient être pratiques, c'est pourquoi les compétences en horoscope et en générateur de nombres aléatoires sont apparues sur les magasins d'applications de Google et d'Amazon.
Ils ont été soumis à un contrôle avant leur publication, mais les chercheurs ont compris qu’une fois les applications commercialisées, Google et Amazon ne faisaient rien pour examiner les nouvelles fonctionnalités et les mises à jour. SRLabs a initialement publié des applications totalement anodines, puis a ajouté les composants malveillants sans aucun problème.
Amazon et Google ont tous deux promis que leurs processus de validation seraient mis à jour, et nous ne pouvons qu'espérer que ce soit effectivement le cas, car il est évident que les logiciels tiers ne sont pas révisés aussi bien qu'ils le devraient, en particulier compte tenu du fait que les appareils qu’il exploite ont des microphones qui nous entourent dans ce qui devrait être la vie privée de notre propre maison.