Pametni zvučnici poput Amazon Echo ili Google početna postoje da slušaju vaš glas i pružaju povratne informacije. Ova je funkcionalnost nevjerojatna za korisnike i noćna mora svakog sigurnosnog stručnjaka. Zbog toga istraživači i stručnjaci za sigurnost troše toliko vremena i truda da bi napravili rupe u tim pametnima zvučnika, kako bi mogli prenijeti ove ranjivosti na tvrtke koje proizvode proizvode i popraviti ih čim moguće.
A istraživači iz tvrtke SRLabs podijelili su prilično neobičan mali hack ZDNet koji koristi posebni znak za zadržavanje mikrofona kad mislite da su isključeni.
Istraživači neprestano traže načine za hakiranje kućnih pomoćnika. To je dobra stvar.
Ove posebne znakove mogu koristiti nezavisni programeri unutar Alexa ili Google Assistant aplikacija ili "vještina". Kad softver koji napaja ove uređaje naiđe na neobičan znak, ubacuju dugu stanku tamo gdje jedinica šuti, ali još uvijek sluša. Drugim riječima, možete pretpostaviti da zvučnik više ne sluša, ali itekako jest.
Verizon nudi Pixel 4a za samo 10 USD mjesečno na novim Neograničenim linijama
I naravno, postoje načini na koje se to može koristiti za sve vrste trikova, poput krađe lozinki ili samo slušanja vašeg razgovora s nekim drugim u sobi.
Hardverske značajke koje vam omogućuju da znate da uređaj sluša ni na koji način se ne zaobilaze. Na videozapisu gore možete vidjeti da je Echoov svjetlosni prsten cijelo vrijeme uključen. Ali neće svi to primijetiti ili čak znati što to znači - oni bi samo znali da je Alexa ili Asistent gotov i pretpostavili da je sve gotovo. Iako videozapisi prikazuju eksploataciju na djelu na uređajima Amazon, proizvodi Google Home rade potpuno istu stvar i nastavljaju slušati na isti način.
Čini se da je to dobar razlog za bacanje proizvoda pomoćnika za dom u smeće, ali nemojte još ustajati: ove aplikacije trećih strana neće biti nešto što možete lako instalirati, uglavnom zato što i Google i Amazon imaju opsežne provjere prije nego što aplikacija bude odobrena za njihovog asistenta platforme. Sami hakovi prilično su ozbiljni, ali šansa za distribuciju je vrlo mala.
Što da napravim?
Bez panike. Iako nema apsolutno nikakvog razloga da se softver koji pokreće Google Home ili Amazon Echo ponaša na ovaj način kad naiđe na dotični specijalni znak - pogotovo jer je SRLabs obavijestio obje tvrtke prije nekoliko mjeseci - nećete instalirati nešto što ga može koristiti ako se ne ponašate kao programer i ne učitate vlastiti aplikacije. Ako instalirate samo odobreni softver s Amazona ili Googlea, instalirate nešto što je provjereno kako bi se osiguralo da se to ne događa.
Provjera je li ovaj exploit u nijednoj objavljenoj aplikaciji u redu, ali bilo bi bolje popraviti exploit.
To nije sjajan odgovor niti jedne tvrtke. Ispravka koja uopće može izbjeći takvo ponašanje ili zaustaviti njegovo ponašanje jest stvaran popraviti, ne oslanjajući se na ručni pregled aplikacija prije njihovog objavljivanja. Nema razloga zašto oba zaštitne mjere nisu na snazi i očekujem bolje od obje tvrtke. I vi biste trebali. No, znati kako ovaj hak funkcionira i provjerava li netko na Amazonu i Googleu da se ne pojavi u vašoj omiljenoj aplikaciji vijesti ili programu za praćenje dnevnog reda, bolje je nego ništa.
Šanse su da će ovaj dio neželjenog publiciteta uzrokovati i Amazon i Google kako bi ispravili nedostatak na pravi način, pa ima i toga. Nadamo se da će se to dogoditi prije nego kasnije.