Chytré reproduktory jako Amazon Echo nebo Domovská stránka Google existují, aby naslouchaly vašemu hlasu a poskytovaly zpětnou vazbu. Tato funkce je pro uživatele úžasná a pro každého bezpečnostního profesionála noční můrou. Proto tito výzkumníci a profesionálové v oblasti zabezpečení vynakládají tolik času a úsilí, aby do nich chytili díry brnění reproduktorů, aby mohli tyto chyby zabezpečení předat společnostem, které vyrábějí produkty, a ihned je opravit možný.
A vědci z SRLabs sdíleli docela zvláštní malý hack ZDNet který používá speciální znak k udržení mikrofonů, když si myslíte, že jsou vypnuté.
Vědci neustále hledají způsoby, jak hacknout domácí asistenty. To je dobrá věc.
Tyto speciální znaky mohou používat vývojáři třetích stran v aplikacích nebo „dovednostech“ Alexa nebo Google Assistant. Když software, který napájí tato zařízení, narazí na lichý znak, vloží dlouhou pauzu, kde je jednotka tichá, ale stále poslouchá. Jinými slovy, můžete předpokládat, že reproduktor již neposlouchá, ale je tomu tak.
Verizon nabízí Pixel 4a za pouhých 10 $ / měsíc na nových linkách Unlimited
A samozřejmě existují způsoby, které lze použít pro nejrůznější podvody, jako je krádež hesel nebo jen poslech, když mluvíte s někým jiným v místnosti.
Hardwarové funkce, které vám umožní zjistit, že zařízení poslouchá, nejsou nijak obcházeny. Ve videu nahoře vidíte, že světelný prstenec Echo je po celou dobu. Ale ne každý si toho všimne, nebo dokonce ví, co to znamená - prostě by věděli, že Alexa nebo Assistant už mluví a předpokládají, že je vše hotové. Zatímco videa ukazují exploit v akci na zařízeních Amazon, produkty Google Home dělají přesně totéž a poslouchají stejným způsobem.
To se zdá být dobrým důvodem k tomu, abyste své domácí produkty vyhodili do koše, ale ještě se nepostavte: tyto aplikace třetích stran nebudou něco, co můžete snadno nainstalovat, hlavně proto, že Google i Amazon mají rozsáhlé kontroly před schválením aplikace pro jejich asistenta platformy. Samotné hacky jsou docela těžké, ale šance na distribuci je velmi nízká.
Co bych měl dělat?
Nepropadejte panice. I když není absolutně žádný důvod, aby software, který řídí Google Home nebo Amazon Echo, měl jednat tímto způsobem, když narazí na dotyčný speciální znak - zejména proto, že společnost SRLabs informovala obě společnosti před několika měsíci - nebudete instalovat něco, co by to mohlo používat, pokud nebudete působit jako vývojář a načíst si vlastní aplikace. Pokud instalujete pouze schválený software od Amazonu nebo Google, instalujete něco, co bylo zkontrolováno, abyste se ujistili, že se to neděje.
Kontrola, zda toto zneužití není v žádné publikované aplikaci, je v pořádku, ale oprava zneužití by byla lepší.
To není velká reakce ani jedné ze společností. Oprava, která může tomuto chování zabránit, je zabránit nemovitý opravit, nespoléhat se na ruční kontrolu aplikací před jejich zveřejněním. Není důvod proč oba záruky nejsou zavedeny a očekávám od obou společností lepší. Měli byste také Ale vědět, jak tento hack funguje a že někdo v Amazonu a Google kontroluje, zda se neobjeví ve vaší oblíbené zpravodajské aplikaci nebo sledovači agendy, je lepší než nic.
Je pravděpodobné, že tento kousek nechtěné publicity způsobí, že Amazon i Google napraví chybu správným způsobem, takže to tak je. Doufáme, že k tomu dojde dříve než později.