Alexa- und Google Home-Apps von Drittanbietern können Passwörter abhören und phishing

Le app di terze parti Alexa e Google Home possono intercettare e phishing password

⌛ Reading Time: 3 minutes

I proprietari di smart speaker sono stati allarmati lo scorso anno, o almeno avrebbero dovuto allarmarsi, che le registrazioni delle richieste degli altoparlanti fossero ascoltate regolarmente dai dipendenti delle aziende.

Ma potrebbero non essere gli unici ad ascoltare. Gli sviluppatori di app di terze parti con un intento nefasto possono creare abilità Amazon e azioni Google Home che possono sembrare benigne ma in realtà sono “spie intelligenti”.

App per altoparlanti intelligenti di terze parti

Esatto: ora devi anche preoccuparti delle app di terze parti sul tuo altoparlante intelligente. Sai che devi diffidare di loro sul tuo computer e dispositivi mobili, ma ora devi anche preoccuparti della vera intenzione delle app di terze parti sul tuo altoparlante intelligente.

Hacker Whitehat dei Security Research Labs in Germania ha sviluppato otto app: quattro abilità Alexa e quattro azioni Google Home. Google e Amazon hanno approvato ciascuna delle app.

Tutte le app hanno controllato gli oroscopi tranne una che era un generatore di numeri casuali. Ma queste app erano “spie intelligenti” che potevano intercettare gli utenti degli altoparlanti intelligenti e le password di phishing.

“È sempre stato chiaro che quegli assistenti vocali hanno implicazioni sulla privacy – con Google e Amazon che ricevono il tuo discorso, e questo può essere attivato a volte in caso di incidente”, ha affermato Fabian Bräunlen, consulente di sicurezza senior presso SRLabs.

“Ora dimostriamo che non solo i produttori, ma … anche gli hacker possono abusare di quegli assistenti vocali per intromettersi nella privacy di qualcuno.”

Sebbene le otto app fossero denominate in modo diverso e funzionassero tutte in modo leggermente diverso dalle altre, condividevano flussi simili.

Quando un utente diceva “Alexa, chiedi al mio oroscopo fortunato di darmi l’oroscopo del Toro” o “Ok Google, chiedi al mio oroscopo fortunato di darmi l’oroscopo del Toro”, le app di intercettazione fornivano l’oroscopo del Toro, ma il phishing le app hanno fornito un falso messaggio di errore.

Sembrava quindi che le app non fossero più in esecuzione, ma in realtà erano in attesa del passaggio successivo dell’attacco pianificato.

Le app di intercettazione stavano ancora ascoltando, registrando tutte le conversazioni a distanza di ascolto dell’oratore, inviando una copia a un servizio designato dal server.

Con le app di phishing, dopo il messaggio di errore che diceva che l’abilità o l’azione non era disponibile nel paese dell’utente, è diventato silenzioso, facendo sembrare che l’app avesse smesso di funzionare. Ma le app invece utilizzavano una voce che imitava Alexa e l’Assistente Google e affermava che era disponibile un aggiornamento del dispositivo, chiedendo la password per installarlo.

Google e Amazon Response

Tutte le app utilizzavano modi semplici per nascondere il proprio comportamento dannoso. Routech.ro non spiegherà i metodi per fornire a nessuno la conoscenza di come aggirare il sistema. Il sito Web non si chiama Rendi più facile l’hacking.

Ma nota che le informazioni sono là fuori, quindi sicuramente Amazon e Google dovrebbero sapere la stessa cosa e fare ora dopo essere stati avvisati da SRLabs. Entrambi hanno affermato che stanno cambiando il modo in cui le app vengono approvate per evitare che ciò accada in futuro. Tuttavia, non avrebbero dovuto servire gli hacker bianchi per avvisarli di questo.

Questo cambia il modo in cui pensi o utilizzerai gli altoparlanti Alexa o Google Home? Facci sapere come potrebbe influenzarti nei commenti qui sotto.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

[pt_view id="5aa2753we7"]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *