7 Января, 2019

Еще две дыры в голосовых помощниках

Владимир Безмалый

Исследователи из Indiana University, Академии наук Китая и University of Virginia обнаружили две новые уязвимости в голосовых помощниках, таких как Amazon Alexa или Google Assistant, которые могут привести к краже личной информации.

Voice Squatting

Первую уязвимость, описанную исследователями, назвали «Voice Squatting». Это метод, использующий способ, вызывающий навык или действие. Этот метод использует преимущества того, как работают голосовые помощники (voice-powered assistants VPA), такие как интеллектуальные колонки. Сервисы, используемые в интеллектуальных колонках, работают с использованием приложений, называемых «навыки» (“skills” (Amazon)) или «действия (“actions” (Google)).

Фактически навык или действие — это то, что дает VPA дополнительные функции, таким образом пользователь может взаимодействовать с умным помощником через виртуальный пользовательский интерфейс (VUI) и может выполнять это умение или действие, используя только свой голос.

Таким образом, метод Voice Squatting, по сути, включает в себя трюки VPA с использованием простых гомофонов — слов, которые звучат одинаково, но имеют разное значение. Используя пример из белой книги, если пользователь дает команду «Alexa, откройте Capital One» для запуска навыка / действия Capital One, киберпреступник может создать вредоносное приложение с аналогичным названием, например «Capital Won». Это может означать, что голосовая команда для навыка Capital One будет взломана для запуска вредоносного навыка Capital Won.

Voice Masquerading

Вторая уязвимость, выявленная в ходе исследования, получила название «Voice Masquerading». Этот метод заключается в использовании вредоносного навыка/ действия для олицетворения законного навыка / действия с предполагаемым результатом обмана пользователя при считывании личной информации / учетных данных учетной записи или при прослушивании личных разговоров.

Исследователи смогли зарегистрировать 5 новых поддельных навыков в Amazon, прошедших процедуру проверки Amazon. При этом использовали похожие имена вызовов. Было установлено, что они были использованы многими пользователями.

Частный разговор отправлен на телефон

Запись личного разговора женщины в Портленде (США) была отправлена на один из ее телефонных контактов без ее разрешения после того, как VPA Echo Amazon неверно истолковало ее слова.

Что это значит для вашего бизнеса?

VPA популярны, но все же это еще относительно новая технология, и один положительный аспект этой истории состоит в том, что, по крайней мере, теперь эти уязвимости были выявлены исследователями, чтобы можно было внести изменения для противодействия угрозам. Amazon заявила, что проводит проверки безопасности в рамках процесса сертификации навыков, и есть надежда, что способность исследователей успешно выдавать поддельные навыки может побудить Amazon, Alexa и других более внимательно относиться к своим процессам проверки.