Speaker pintar seperti Amazon Echo atau Google Home ada untuk mendengarkan suara Anda dan memberikan umpan balik. Fungsionalitas ini luar biasa bagi pengguna, dan mimpi buruk bagi profesional keamanan mana pun. Itulah mengapa begitu banyak waktu dan tenaga dihabiskan oleh para peneliti keamanan dan profesional untuk membuat lubang ke dalam kecerdasan ini pelindung speaker, sehingga mereka dapat meneruskan kerentanan ini ke perusahaan yang membuat produk dan menambalnya segera bisa jadi.
Dan peneliti dari SRLabs telah berbagi peretasan kecil yang cukup aneh ZDNet yang menggunakan karakter khusus untuk mengaktifkan mikrofon saat Anda mengira mikrofon mati.
Peneliti terus mencari cara untuk meretas asisten rumah. Itu hal yang bagus.
Karakter khusus ini dapat digunakan oleh pengembang pihak ketiga di dalam aplikasi Alexa atau Google Assistant atau "keterampilan". Ketika perangkat lunak yang menggerakkan perangkat ini menemukan karakter aneh, mereka memasukkan jeda panjang di mana unit diam tetapi masih mendengarkan. Dengan kata lain, Anda mungkin berasumsi bahwa pembicara tidak lagi mendengarkan tetapi sebenarnya sedang mendengarkan.
Verizon menawarkan Pixel 4a hanya dengan $ 10 / bln pada jalur Unlimited baru
Dan tentu saja, ada cara agar ini dapat digunakan untuk segala jenis tipu daya, seperti mencuri sandi Anda atau hanya mendengarkan Anda berbicara dengan orang lain di ruangan itu.
Fitur perangkat keras yang memungkinkan Anda mengetahui perangkat sedang mendengarkan tidak dilewati dengan cara apa pun. Anda dapat melihat di video di atas bahwa cincin lampu Echo menyala sepanjang waktu. Tetapi tidak semua orang akan memperhatikan ini atau bahkan tahu apa artinya - mereka hanya akan tahu bahwa Alexa atau Asisten selesai berbicara dan menganggap semuanya sudah selesai. Sementara video menunjukkan tindakan eksploit di perangkat Amazon, produk Google Home melakukan hal yang persis sama dan terus mendengarkan dengan cara yang sama.
Ini sepertinya alasan yang bagus untuk membuang produk asisten rumah Anda ke tempat sampah, tetapi jangan berdiri dulu: aplikasi pihak ketiga ini tidak akan sesuatu yang dapat Anda instal dengan mudah, terutama karena Google dan Amazon memiliki pemeriksaan ekstensif sebelum aplikasi disetujui untuk asisten mereka platform. Peretasan itu sendiri cukup parah, tetapi peluang distribusinya sangat rendah.
Apa yang harus saya lakukan?
Jangan panik. Meskipun sama sekali tidak ada alasan bahwa perangkat lunak yang menggerakkan Google Home atau Amazon Echo harus bertindak seperti ini ketika menemukan karakter khusus yang dimaksud - terutama karena SRLabs telah memberi tahu kedua perusahaan beberapa bulan yang lalu - Anda tidak akan memasang sesuatu yang dapat menggunakannya kecuali Anda bertindak sebagai pengembang dan memuat milik Anda sendiri aplikasi. Jika Anda hanya menginstal perangkat lunak yang disetujui dari Amazon atau Google, Anda menginstal sesuatu yang telah diperiksa untuk memastikan hal ini tidak terjadi.
Memeriksa untuk memastikan eksploit ini tidak ada dalam aplikasi yang dipublikasikan tidak masalah, tetapi memperbaiki eksploit akan lebih baik.
Itu bukan tanggapan yang bagus dari kedua perusahaan. Perbaikan yang dapat menghindari perilaku ini atau menghentikannya terjadi di tempat pertama adalah nyata memperbaiki, tidak bergantung pada pemeriksaan manual aplikasi sebelum dipublikasikan. Tidak ada alasan mengapa kedua pengamanan tidak diterapkan dan saya mengharapkan yang lebih baik dari kedua perusahaan. Anda juga harus. Tetapi mengetahui bagaimana peretasan ini beroperasi dan bahwa seseorang di Amazon dan Google memeriksa untuk memastikannya tidak muncul di aplikasi berita favorit Anda atau pelacak agenda lebih baik daripada tidak sama sekali.
Kemungkinannya adalah sedikit publisitas yang tidak diinginkan ini akan menyebabkan Amazon dan Google memperbaiki kesalahan dengan cara yang benar, jadi begitulah. Di sini berharap itu terjadi lebih cepat daripada nanti.