Contenu
- Mots de passe de phishing vocaux sur les haut-parleurs Amazon Echo et Google Home
- Ecoutes sur les utilisateurs via les enceintes Amazon Echo et Google Home
Nous savions que Google et Amazon écoutaient leurs utilisateurs via leurs haut-parleurs intelligents Echo et Home à commande vocale. Cependant, un groupe de chercheurs en sécurité a maintenant montré comment les applications tierces peuvent facilement espionner les utilisateurs et les informations sensibles de phish vocal comme les mots de passe.
Des chercheurs de l’entreprise allemande allemande SRLabs ont découvert deux scénarios de piratage - l’espionnage et le phishing - pour les appareils Amazon Alexa et Google Home / Nest. Ils ont créé huit applications vocales (Skills for Alexa et Actions pour Google Home) pour illustrer le piratage qui transforme ces enceintes intelligentes en espions intelligents. Les applications vocales malveillantes créées par SRLabs passaient facilement par les processus de filtrage individuels d’Amazon et de Google.
Différentes approches ont été utilisées pour espionner les utilisateurs d’Amazon Alexa et de Google Home et pour phish de leurs informations. Les chercheurs ont pu modifier la fonctionnalité des compétences et des actions qu’ils ont créées pour le piratage après l’approbation des applications par Amazon et Google. Il n’ya pas eu de deuxième série d’examens après que ces modifications ont été apportées.
Mots de passe de phishing vocaux sur les haut-parleurs Amazon Echo et Google Home
Dans la vidéo ci-dessous, vous voyez comment un utilisateur demande à Alexa de démarrer une compétence appelée Mon horoscope chanceux. Il s'agit d'une compétence Alexa malveillante créée et modifiée par SRLabs en phish pour les mots de passe.
L’application ne donne pas de bienvenue et répond à la place: «Cette compétence n’est actuellement pas disponible dans votre pays.» À ce stade, un utilisateur supposerait que l’application a cessé d’écouter, mais ce n’est vraiment pas le cas. Au lieu de cela, la compétence a été piratée pour dire une séquence de caractères qu'Alexa ne peut pas prononcer, ainsi le locuteur reste silencieux lorsqu'il est réellement en pause et en écoute.
La compétence joue alors un phishing disant: «Une nouvelle mise à jour est disponible pour votre appareil Alexa. Veuillez indiquer start suivi de votre mot de passe. ”Bien qu'Amazon ne demande jamais de mots de passe de cette manière, les utilisateurs qui ne le savent pas peuvent être pris au dépourvu.
Une approche similaire a été utilisée pour les mots de passe de phishing sur un haut-parleur Google Home Mini.
Ecoutes sur les utilisateurs via les enceintes Amazon Echo et Google Home
Les chercheurs ont utilisé la même application d’horoscope pour le haut-parleur intelligent d’Amazon. L'application incite l'utilisateur à croire qu'il a été arrêté alors qu'il écoute en silence en arrière-plan.
Pour Google Home, le hack était encore plus simple et il n’était pas nécessaire de spécifier des mots de déclenchement pour écouter. Les chercheurs ont noté que, dans ce cas, l’utilisateur était mis en boucle car «l’appareil envoie en permanence des entrées vocales au serveur du pirate tout en produisant des silences courts entre les deux».
SRLabs a supprimé toutes les applications présentées dans les vidéos ci-dessus. Les chercheurs ont également rapporté leurs découvertes à Amazon et à Google.
Comme par Ars Technica, les deux sociétés ont répondu qu’elles modifiaient leurs processus d’approbation et adoptaient des mécanismes supplémentaires pour éviter de tels piratages à l’avenir.
Cependant, aucune mise à jour d'Amazon ou de Google ne permet de savoir quand ces problèmes seront résolus. Il n’existe également aucun moyen de savoir si une compétence ou une action a utilisé à mauvais escient ces échappatoires dans le passé.
