Smarte højttalere som en Amazon Echo eller Google Home findes for at lytte efter din stemme og give feedback. Denne funktionalitet er fantastisk for brugerne og et mareridt for enhver sikkerhedsprofessionel. Derfor bruger så meget tid og kræfter af disse sikkerhedsforskere og fagfolk på at stikke huller i disse smarte højttalernes rustning, så de kan videregive disse sårbarheder til de virksomheder, der fremstiller produkterne og få dem patchet så snart muligt.
Og forskere fra SRLabs har delt et temmelig ejendommeligt lille hack med ZDNet der bruger et særligt tegn til at holde mikrofoner tændt, når du tror, de er slukket.
Forskere ser konstant på måder at hacke hjemmeassistenter på. Det er en god ting.
Disse specialtegn kan bruges af tredjepartsudviklere i Alexa eller Google Assistant-apps eller "færdigheder". Når softwaren, der driver disse enheder, støder på det ulige tegn, indsætter de en lang pause, hvor enheden er lydløs, men stadig lytter. Med andre ord kan du antage, at højttaleren ikke længere lytter, men det er det meget.
Verizon tilbyder Pixel 4a for kun $ 10 / mo på nye ubegrænsede linjer
Og selvfølgelig er der måder, hvorpå dette kan bruges til alle mulige trickery, som at stjæle dine adgangskoder eller bare lytte til dig tale med en anden i rummet.
Hardwarefunktionerne, der giver dig mulighed for at vide, at enheden lytter, omgås ikke på nogen måde. Du kan se i videoen ovenfor, at Echo's lysring er på hele tiden. Men ikke alle vil bemærke dette eller endda vide, hvad det betyder - de ville bare vide, at Alexa eller Assistent er færdig med at tale og antager, at alt er færdigt. Mens videoerne viser udnyttelsen i aktion på Amazon-enheder, gør Google Home-produkter nøjagtigt det samme og fortsætter med at lytte på samme måde.
Dette virker som en god grund til at smide dine hjemmeassistentprodukter i papirkurven, men stå ikke op endnu: disse tredjepartsapps bliver ikke noget, du nemt kan installere, hovedsageligt fordi både Google og Amazon har omfattende kontroller, inden en ansøgning godkendes til deres assistent platforme. Selve hackerne er ret alvorlige, men fordelingschancen er meget lav.
Hvad skal jeg gøre?
Gå ikke i panik. Selvom der absolut ikke er nogen grund til, at softwaren, der kører et Google Home eller Amazon Echo, skal handle på denne måde, når den møder den pågældende specialtegn - især da SRLabs har underrettet begge virksomheder for måneder siden - du vil ikke installere noget, der kan bruge det, medmindre du fungerer som en udvikler og indlæser din egen applikationer. Hvis du kun installerer godkendt software fra Amazon eller Google, installerer du noget, der er kontrolleret for at sikre, at dette ikke sker.
Kontroller for at sikre, at denne udnyttelse ikke findes i nogen offentliggjorte apps, er OK, men det ville være bedre at løse udnyttelsen.
Det er ikke et godt svar fra begge virksomheder. En løsning, der kan forhindre denne adfærd eller forhindre det i at ske i første omgang er ægte rettelse uden at stole på manuel inspektion af ansøgninger, før de offentliggøres. Der er ingen grund til det begge beskyttelsesforanstaltninger er ikke på plads, og jeg forventer bedre af begge virksomheder. Det burde du også. Men at vide, hvordan dette hack fungerer, og at nogen hos Amazon og Google kontrollerer for at sikre, at det ikke vises i din yndlingsnyhedsapp eller agenda-tracker, er bedre end ingenting.
Chancerne er, at denne smule uønsket omtale vil få både Amazon og Google til at rette fejlen på den rigtige måde, så der er det. Her håber det sker hurtigere end senere.