Еще в октябре исследователи из компании SRLabs показали, как можно менять поведение умных колонок Amazon Echo и Google Home для подслушивания разговоров или даже фишинга паролей (новость, исследование). Для последнего даже существует специальный термин — vishing, он же voice phishing, то есть фишинг, в котором жертва делится секретами голосом.
Для атаки использовалась штатная функциональность колонок, а именно — возможность устанавливать мини-приложения (известные как skills или actions). Гипотетический апп, который человеческим голосом вслух читает свежий гороскоп, можно модифицировать уже после аудита безопасности. При помощи спецсимволов и подмены технических сообщений можно сделать вид, что приложение перестало работать, хотя на самом деле происходит запись, расшифровка и отправка на сервер атакующего всех разговоров и команд в течение некоторого времени.
Спустя два месяца исследователи сообщили, что проблемы исправлены не были. В ходе исследования в «магазин приложений» умных колонок были загружены «вредоносные» приложения. Результаты были переданы в Amazon и Google, после чего приложения были удалены, но в SRLabs без труда загрузили их заново, и они смогли пройти проверку. Ситуация напоминает проблему с вредоносными приложениями для обычных смартфонов в Google Play Store и Apple App Store: тактика та же, просто методы социальной инженерии немного другие. В любом случае, это интересный пример эволюции атак с учетом появления устройств, которые постоянно подслушивают и подсматривают за владельцами.
Читать полностью »
