Altoparlanti intelligenti come un file Amazon Echo o Google Home esistono per ascoltare la tua voce e fornire feedback. Questa funzionalità è sorprendente per gli utenti e un incubo per qualsiasi professionista della sicurezza. Ecco perché i ricercatori e i professionisti della sicurezza impiegano così tanto tempo e sforzi per fare buchi in questi dispositivi intelligenti armatura degli altoparlanti, in modo che possano trasmettere queste vulnerabilità alle aziende che realizzano i prodotti e farli riparare non appena possibile.
E i ricercatori di SRLabs hanno condiviso un piccolo trucco piuttosto particolare con ZDNet che utilizza un carattere speciale per tenere accesi i microfoni quando pensi che siano spenti.
I ricercatori sono costantemente alla ricerca di modi per hackerare gli assistenti domestici. È una buona cosa.
Questi caratteri speciali possono essere utilizzati da sviluppatori di terze parti all'interno delle app o "competenze" di Alexa o dell'Assistente Google. Quando il software che alimenta questi dispositivi incontra il carattere strano, inserisce una lunga pausa in cui l'unità è silenziosa ma ancora in ascolto. In altre parole, puoi presumere che l'oratore non stia più ascoltando, ma lo è molto.
Verizon offre Pixel 4a per soli $ 10 / mese sulle nuove linee Unlimited
E, naturalmente, ci sono modi in cui questo può essere utilizzato per ogni sorta di inganno, come rubare le tue password o semplicemente ascoltarti parlare con qualcun altro nella stanza.
Le funzionalità hardware che ti consentono di sapere che il dispositivo è in ascolto non vengono bypassate in alcun modo. Puoi vedere nel video sopra che l'anello luminoso di Echo è acceso per tutto il tempo. Ma non tutti lo noteranno o sapranno cosa significa: saprebbero solo che Alexa o l'Assistente hanno finito di parlare e presumono che tutto sia finito. Mentre i video mostrano l'exploit in azione sui dispositivi Amazon, i prodotti Google Home fanno esattamente la stessa cosa e continuano ad ascoltare allo stesso modo.
Questo sembra un buon motivo per gettare i prodotti del tuo assistente domestico nella spazzatura, ma non alzarti ancora in piedi: queste app di terze parti non lo saranno qualcosa che puoi installare facilmente, principalmente perché sia Google che Amazon hanno controlli approfonditi prima che un'applicazione venga approvata per il loro assistente piattaforme. Gli stessi hack sono piuttosto gravi, ma la possibilità di distribuzione è molto bassa.
Cosa dovrei fare?
Niente panico. Sebbene non vi sia assolutamente alcun motivo per cui il software che guida una Google Home o Amazon Echo debba agire in questo modo quando incontra il carattere speciale in questione - soprattutto da quando SRLabs ha informato entrambe le società mesi fa: non installerai qualcosa che può utilizzarlo a meno che tu non agisca come sviluppatore e carichi il tuo applicazioni. Se installi solo software approvato da Amazon o Google, stai installando qualcosa che è stato controllato per assicurarti che ciò non stia accadendo.
Controllare per assicurarsi che questo exploit non sia presente in nessuna app pubblicata va bene, ma risolvere l'exploit sarebbe meglio.
Non è un'ottima risposta da nessuna delle due società. Una correzione che può bloccare questo comportamento o impedire che si verifichi in primo luogo è il vero correggere, non fare affidamento sull'ispezione manuale delle applicazioni prima che vengano pubblicate. Non c'è motivo per cui tutti e due le salvaguardie non sono in atto e mi aspetto di meglio da entrambe le società. Quindi dovresti. Ma sapere come funziona questo hack e che qualcuno in Amazon e Google sta controllando per assicurarsi che non appaia nella tua app di notizie preferita o nel tracker dell'agenda è meglio di niente.
È probabile che questo po 'di pubblicità indesiderata indurrà sia Amazon che Google a correggere il difetto nel modo giusto, quindi c'è quello. Speriamo che accada prima piuttosto che dopo.