Swordwing

Представлен новый способ прослушки пользователей Amazon Alexa и Google Home ( 3 фото )

Представлен новый способ прослушки пользователей Amazon Alexa и Google Home

08:55 / 21 Октября, 2019

Прослушивать разговоры и осуществлять фишинговые атаки можно через бэкенд, предоставляемый разработчикам приложений Alexa и Home.

Представлен новый способ прослушки пользователей Amazon Alexa и Google Home Интернет и компьютеры

Злоумышленники могут использовать смарт-помощников Amazon Alexa и Google Hom фишинга.

ослушивания разговорфишинга.зователей и фишинга.

С технической стороны атака не является новой. Ранее исследователи безопасности уже неоднократно находили аналогичные векторы для атак в Amazon Alexa (в апреле , мае и августе 2018 года) и Google Home (в мае 2018 года). Каждый раз Google и Amazon устраняли их, однако вскоре появлялись новые.

В воскресенье, 20 октября, специалисты из Security Research Labs (SRLabs) Луиза Фрерихс (Luise Frerichs) и Фабиан Бройнляйн (Fabian Brдunlein) рассказали об очередном методе, позволяющем перехватывать разговоры пользователей и осуществлять фишинговые атаки.

Оба вектора атак эксплуатируются через бэкенд, предоставляемый компаниями Google и Amazon разработчикам кастомизированных приложений Alexa и Home. Как обнаружили исследователи, путем добавления последовательности символов «э. » (U+D801, точка, пробел) в различные места в бэкенде обычного приложения Alexa/Google Home можно вызвать продолжительные периоды молчания, в ходе которого голосовой помощник остается активным.

Злоумышленники могут сообщить жертве, будто приложение перестало работать, внедрить вышеупомянутые символы и тем самым вызвать продолжительную паузу, а через несколько минут отправить жертве фишинговое уведомление, которое она никак не свяжет с «поломанным» приложением.

Как показано в видео ниже, приложение гороскоп прекращает работу, но остается активным, а затем просит у жертвы учетные данные для Amazon/Google под видом поддельных обновлений для Amazon/Google.

Та же последовательность символов может использоваться для прослушивания пользователей. Однако в данном случае она внедряется после того, как вредоносное приложение ответит на команду пользователя. Последовательность символов позволяет устройству оставаться активным и записывать разговор в журнал, который затем отправляется на подконтрольный злоумышленникам сервер для обработки.

Представлен новый способ прослушки пользователей Amazon Alexa и Google Home Интернет и компьютеры

Подписывайтесь на каналы «SecurityLab» в

Представлен новый способ прослушки пользователей Amazon Alexa и Google Home Интернет и компьютеры

Telegram и

Представлен новый способ прослушки пользователей Amazon Alexa и Google Home Интернет и компьютеры

Яндекс. Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Поделиться новостью:

Взято: Тут

+123297
  • 0
  • 3 685
Обнаружили ошибку?
Выделите проблемный фрагмент мышкой и нажмите CTRL+ENTER.
В появившемся окне опишите проблему и отправьте уведомление Администрации.
Нужна органическая вечная ссылка из данной статьи? Постовой?
Подробности здесь

Добавить комментарий

  • Внимание!!! Комментарий должен быть не короче 40 и не длиннее 3000 символов.
    Осталось ввести знаков.
    • angelangryapplausebazarbeatbeerbeer2blindbokaliboyanbravo
      burumburumbyecallcarchihcrazycrycup_fullcvetokdadadance
      deathdevildraznilkadrinkdrunkdruzhbaedaelkafingalfoofootball
      fuckgirlkisshammerhearthelphughuhhypnosiskillkissletsrock
      lollooklovemmmmmoneymoroznevizhuniniomgparikphone
      podarokpodmigpodzatylnikpokapomadapopapreyprivetprostitequestionrofl
      roseshedevrshocksilaskuchnosleepysmehsmilesmokesmutilisnegurka
      spasibostenastopsuicidetitstorttostuhmylkaumnikunsmileura
      vkaskewakeupwhosthatyazykzlozomboboxah1n1aaaeeeareyoukiddingmecerealguycerealguy2
      challengederpderpcryderpgopderphappyderphappycryderplolderpneutralderprichderpsadderpstare
      derpthumbderpwhydisappointfapforeveraloneforeveralonehappyfuckthatbitchgaspiliedjackielikeaboss
      megustamegustamuchomercurywinnotbadnumbohgodokaypokerfaceragemegaragetextstare
      sweetjesusfacethefuckthefuckgirltrolltrolldadtrollgirltruestoryyuno