Сказки о безопасности: Слушай внимательнее

Сказки о безопасности: Слушай внимательнее

Владимир Безмалый | 30.10.2020

Все чаще и чаще на улице шел дождь. Казалось, сырость заполнила город. Идешь по улице — не идешь, а плывешь сквозь сплошной туман. Буквально в двух шагах ничего не видно. Иоганн не любил такую погоду, но осенью и весной приходилось терпеть. Все же хорошо, что можно по утрам идти через парк. Горящие сквозь туманфонари… Все это придает какую-то сказочность.

Столица империи славилась своим спокойствием на улицах. Об уличной преступности здесь давно не было слышно. Хорошо работала полиция, а с тех пор, когда на фонарях выставили микрофоны, реагировавшие на призывы о помощи и различавшие звуки выстрелов, вывесили множество видеокамер и подключили к полицейским сетям частные видеокамеры, работать стало намного проще. Наряды приезжали на вызовы практически мгновенно. Но все же работа полиции, особенно ее оперативных подразделений, все еще нуждалась в услугах департамента «волшебников», как часто называли подразделение Иоганна. Вот и недавно им задали очередную задачу. Нужно было продумать, как заставить домашние гаджеты, а точнее «умные» голосовые помощники, работать подслушивающими устройствами.

Ребята думали над задачей вторую неделю, и сегодня Рита обещала представить свое решение. Прелесть его была в том, что не требовался непосредственный доступ к устройству. Более того, следы взлома устройства тоже можно было убрать удаленно.

— Доброе утро, шеф! Чего вы не вызвали машину? Такая сырость!

— Ну зачем? Прошел по парку, подумал о жизни. А сырость и слякоть — это ерунда! Нужно просто одеться по погоде! Что у нас нового?

— Пробегала Рита, просила предупредить вас, что она вас ждет с утра.

— Спасибо! Не стоит заставлять ее меня ждать.

— Доброе утро, шеф!

— Привет, Рита! Чем порадуешь?

— Мы нашли решение для голосовых помощников от компаний А и G.

— А можно подробнее?

— Мы научились получать пароль пользователя такого помощника.

— Каким образом?

— Создали приложение, изменившее функциональность, при этом не требуется повторная проверка. В частности, мы меняем приветственное сообщение на поддельное сообщение об ошибке «Этот навык в настоящее время недоступен в вашей стране», заставляя пользователя думать, что приложение не запущено и его не слушает. А затем добавили длинную паузу в звуке после сообщения об ошибке, заставив голосовое приложение «произнести» последовательность символов. Поскольку эта последовательность труднопроизносима, говорящий молчит, пока активен. Если заставлять приложение «произносить» символы несколько раз, продолжительность этого молчания увеличивается. Наконец, через некоторое время молчание прекратится и будет воспроизведено фишинговое сообщение «Для вашего устройства доступно важное обновление безопасности. Скажите „Начать обновление“ и введите свой пароль». Все, пароль у нас.

— И вы сможете ввести пароль и заставить гаджет прослушивать все, что будет после этого произнесено?

— Именно так! Мы проверяли. Это работает.

— Молодцы! Задача решена!

А вы пользуетесь голосовыми помощниками? Пользуйтесь! Кому-то будет удобно вас слушать!

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Владимир Безмалый

О безопасности и не только