Представлен новый способ прослушки пользователей Amazon Alexa и Google Home

Злоумышленники могут использовать смарт-помощников Amazon Alexa и Google Home для прослушивания разговоров пользователей и фишингa.

С технической стороны атака не является новой. Ранее исследователи безопасности уже неоднократно находили аналогичные векторы для атак в Amazon Alexa (в апреле , мае и августе 2018 года) и Google Home (в мае 2018 года). Каждый раз Google и Amazon устраняли их, однако вскоре появлялись новые.

В воскресенье, 20 октября, специалисты из Security Research Labs (SRLabs) Луиза Фрерихс (Luise Frerichs) и Фабиан Бройнляйн (Fabian Brдunlein) рассказали об очередном методе, позволяющем перехватывать разговоры пользователей и осуществлять фишинговые атаки.

Оба вектора атак эксплуатируются через бэкенд, предоставляемый компаниями Google и Amazon разработчикам кастомизированных приложений Alexa и Home. Как обнаружили исследователи, путем добавления последовательности символов "U+D801, точка, пробел" в различные места в бэкенде обычного приложения Alexa/Google Home можно вызвать продолжительные периоды молчания, в ходе которого голосовой помощник остается активным.

Злоумышленники могут сообщить жертве, будто приложение перестало работать, внедрить вышеупомянутые символы и тем самым вызвать продолжительную паузу, а через несколько минут отправить жертве фишинговое уведомление, которое она никак не свяжет с «поломанным» приложением.

Как показано в видео ниже, приложение гороскоп прекращает работу, но остается активным, а затем просит у жертвы учетные данные для Amazon/Google под видом поддельных обновлений для Amazon/Google.

Та же последовательность символов может использоваться для прослушивания пользователей. Однако в данном случае она внедряется после того, как вредоносное приложение ответит на команду пользователя. Последовательность символов позволяет устройству оставаться активным и записывать разговор в журнал, который затем отправляется на подконтрольный злоумышленникам сервер для обработки.