Петър Шкута Не толкова отдавна в интернет имаше скандал за подслушването на потребители. Смарт високоговорителите от Amazon и Google изиграха водеща роля. Сега се оказва, че много приложения на трети страни могат дори повече.
Интелигентните високоговорители от Amazon и Google са различни от Apple HomePod веднъж основна функция. Те позволяват на приложения на трети страни да използват хардуера на устройството. Така софтуерните инженери на двете компании водят безкрайна битка с хакерите, които винаги са една крачка напред.
Споделиха експерти по сигурността със сървъра ZDNet за техните открития. Цялата атака срещу потребителя се състои в използването на обикновена вратичка в работата на операционната система на високоговорителя с вграден микрофон.
Това е така, защото приложенията на трети страни имат възможност за достъп до микрофона на високоговорителя само за ограничен период от време. Има обаче опция за удължаване на това време в случай, че не е било възможно да се разбере командата на потребителя. И това е точно пътят, който използват хакерите.
Възникна грешка при свързване. Моля, въведете паролата за вашия акаунт в Google
Стандартното поведение на приложението приблизително съответства на следната ситуация:
Моля Alexa да добави артикули към количката ми за пазаруване на приложения от верига магазини. Приложението проверява хронологията на поръчките, за да сравни параметрите на стоките и след това ме пита за потвърждение. В същото време активира микрофона и чака отговор да или не. Ако не отговоря, микрофонът се изключва след няколко секунди.
Има обаче начин да заобиколите заглушаването на микрофона. Това може да се постигне със специален текстов низ "�. ”, написани в кода на приложението. Това може лесно да увеличи времето за активиране на микрофона от няколко секунди до много повече. По този начин приложението може да подслушва потребителя през цялото време.
Вторият вариант е още по-коварен. Низът може да се използва и задава дори за обработка на аудио инструкция. Впоследствие приложението може да бъде принудено да поиска парола за, например, акаунт в Amazon или Google. Видеоклиповете по-долу ясно показват целия процес.
Може да бъде те интересуват
Дейвид Ханак Междувременно Apple не позволява на приложения на трети страни да имат директен достъп до микрофона на HomePod и вероятно никога няма да го направи в същата степен като Amazon и Google. Всички разработчици трябва да използват специален API, който обработва глас. Потребителите му засега са в безопасност.
