Difuzoarele inteligente ca un Amazon Echo sau Google Home există pentru a-ți asculta vocea și a oferi feedback. Această funcționalitate este uimitoare pentru utilizatori și un coșmar pentru orice profesionist în securitate. De aceea, atât de mult timp și efort sunt cheltuiți de către acești cercetători și profesioniști în securitate pentru a pune găuri în aceste inteligente armura difuzoarelor, astfel încât să poată transmite aceste vulnerabilități companiilor care realizează produsele și să le facă corecte imediat posibil.
Și cercetătorii de la SRLabs au împărtășit un mic hack destul de ciudat ZDNet care folosește un caracter special pentru a menține microfoanele aprinse atunci când crezi că sunt oprite.
Cercetătorii caută în permanență modalități de a hackera asistenții la domiciliu. E un lucru bun.
Aceste caractere speciale pot fi utilizate de dezvoltatori terți în aplicațiile sau „abilitățile” Alexa sau Google Assistant. Când software-ul care alimentează aceste dispozitive întâlnește caracterul ciudat, acestea introduc o pauză lungă în care unitatea este silențioasă, dar încă ascultă. Cu alte cuvinte, puteți presupune că difuzorul nu mai ascultă, dar este foarte mult.
Verizon oferă Pixel 4a la doar 10 USD / lună pe noile linii nelimitate
Și, desigur, există modalități prin care acest lucru poate fi folosit pentru tot felul de înșelăciuni, cum ar fi furtul parolelor sau doar ascultarea vorbind cu altcineva din cameră.
Funcțiile hardware care vă permit să știți că dispozitivul ascultă nu sunt ocolite în niciun fel. Puteți vedea în videoclipul de mai sus că inelul de lumină al Ecoului este în permanență. Dar nu toată lumea va observa acest lucru sau chiar nu va ști ce înseamnă - ar ști doar că Alexa sau Asistentul a terminat de vorbit și ar presupune că totul este terminat. În timp ce videoclipurile arată exploit-ul în acțiune pe dispozitivele Amazon, produsele Google Home fac exact același lucru și continuă să asculte în același mod.
Acesta pare un motiv bun pentru a arunca produsele de asistent la domiciliu în coșul de gunoi, dar nu vă ridicați încă: aceste aplicații terțe nu vor fi ceva ce puteți instala cu ușurință, în principal pentru că atât Google, cât și Amazon au verificări extinse înainte ca o aplicație să fie aprobată pentru asistentul lor platforme. Hack-urile în sine sunt destul de severe, dar șansa de distribuție este foarte mică.
Ce ar trebuii să fac?
Nu intra în panică. Deși nu există absolut niciun motiv pentru care software-ul care conduce un Google Home sau Amazon Echo ar trebui să acționeze astfel atunci când întâlnește caracterul special în cauză - mai ales că SRLabs a notificat ambele companii în urmă cu câteva luni - nu veți instala ceva care să îl poată utiliza, cu excepția cazului în care acționați ca dezvoltator și încărcați propriul dvs. aplicații. Dacă instalați doar software aprobat de la Amazon sau Google, instalați ceva care a fost verificat pentru a vă asigura că acest lucru nu se întâmplă.
Verificarea pentru a vă asigura că acest exploit nu este în nicio aplicație publicată este OK, dar ar fi mai bine să remediați exploatarea.
Acesta nu este un răspuns excelent din partea oricărei companii. O soluție care poate deruta acest comportament sau îl poate opri să se întâmple în primul rând este real remediați, fără a vă baza pe inspecția manuală a aplicațiilor înainte de a fi publicate. Nu există niciun motiv pentru care ambii măsurile de protecție nu sunt în vigoare și mă aștept mai bine de la ambele companii. La fel ar trebui tu. Dar știind cum funcționează acest hack și că cineva de la Amazon și Google verifică dacă nu apare în aplicația dvs. preferată de știri sau în agenda de urmărire este mai bine decât nimic.
Șansele sunt că acest pic de publicitate nedorită va determina atât Amazon, cât și Google să remedieze defectul în modul corect, așa că există asta. Aici sperăm că se va întâmpla mai devreme decât mai târziu.