okt 21, 2019
3 Views
0 0

Kémappok jutottak át Google Assistant és az Alexa védelmén

Written by

Biztonsági szakértők sikeresen vették ostrom alá a két legnagyobb hangalapú platformot. A Google és az Amazon is gyorsan javította a hibákat, egyelőre nem tudni, rosszindulatú felek esetében volt-e már hasonló visszaélés.

Bár az okoshangszórók népszerűsége az utóbbi években robbanásszerűen megnőtt, ezzel együtt a folyamatosan fülelő készülékekkel kapcsolatos biztonsági kockázatok is egyre inkább előtérbe kerültek. A helyzeten nem segítettek a szegmensben népszerű cégek nyáron kirobbant botrányai sem, melyek során kiderült, a készített hangfelvételeket a vállalatok alvállalkozói rendszeresen hallgatják – az Amazon esetében pedig nincs is lehetőség azok törlésére.

Az aggodalmakra most egy új jelenség tesz rá még egy lapáttal: az Amazon és a Google platformjaira is bejutottak rosszindulatú, a felhasználók után kémkedő hangalapú alkalmazások. Szerencsére egyelőre nincs szó tényleges, ismert fenyegetésről, a szóban forgó kártevőket ugyanis a német Security Research Labs fejlesztette, hogy kipróbálja, valóban át tudja-e csempészni azokat a cégek védvonalain. Mint az Ars Technica beszámolt róla, a kísérlet sikeres volt, a kutatók nyolc alkalmazása átment az Amazon és a Google biztonsági szűrésén, és be is került azok hangalapú asszisztenseihez szánt alkalmazásboltjaiba.

Beszélgetések és jelszavak után füleltek

Ahogy az a mobilos platformokat célzó malware-eknél is lenni szokott, a rosszindulatú szoftverek valamilyen egyszerű, “ártatlan” appnak álcázzák magukat – a Security Research Labs horoszkópfelolvasó appok, illetve egy véletlenszám-generátor mögé bújtatta kártevőit, amelyek aztán hallgatóztak a felhasználók beszélgetései után, sőt, jelszavaikat is igyekeztek megszerezni, phishing támadásokkal.

amznecho01

A beszélgetések lehallgatására kihegyezett appok hangparancsra elvégezték a rájuk bízott feladatot, azaz felolvasták a kért horoszkópot, majd elhallgattak – a háttérben ugyanakkor továbbra is aktívan figyelték az eszköz mikrofonjait, a rögzített beszélgetéseket pedig továbbították a készítők szervereire.

A phishing támadásoknál az appok eggyel tovább mentek, és a hangparancsokra válaszul hibaüzenetet dobtak, arról tájékoztatva a felhasználót, hogy a szolgáltatás nem érhető el az adott országban. Ezután a fentiekhez hasonlóan elhallgattak, ugyancsak azt a látszatot keltve, hogy az app már nem fut – majd rövid idő elteltével, az Alexa vagy a Google Assistant hangját utánozva szoftverfrissítésre hivatkozva a felhasználó jelszavát kérték a nem létező patch telepítéséhez.

A Security Research Labs először négy, angol nyelvű appal jutott át a platformok védvonalain, majd a sikeres teszt után azokat eltávolította az alkalmazásboltokból, nem sokkal később pedig négy német nyelvű alkalmazással is megismételte a mutatványt. A rosszindulatú appokat sem a Google, sem az Amazon nem tudta elcsípni, a második eresztést pedig csak azután törölték felületeikről, hogy azokat maguk a fejlesztők jelentették a két cégnek.

Szinte azonos sebezhetőségek

Hogy az alkalmazások a válaszok – vagy épp a hibaüzenet – felolvasását követően is csendben tovább futhassanak, a fejlesztők mindkét platformon egy speciális karakter bevetésével érték el, amelyet a virtuális asszisztensek text-to-speech motorjaik hibája miatt képtelenek voltak felolvasni. Az asszisztensek egy másik gyengesége a parancsokban rejlő “intent” vagy “szándék” kategóriába eső kulcsszavakban gyökerezett – utóbbiak közül a szakértők a “start” és “stop”, azaz az appot indító és leállító parancsokat is sikeresen manipulálták. Az ilyen intenteket ráadásul azután is tudták módosítani, hogy az Amazon, illetve a Google már átengedte az adott appot biztonsági ellenőrzésein.

nesthome

A szakértők jelezték a sérülékenységeket a két vállalat felé, akik törölték a szóban forgó appokat alkalmazásboltjaikból, illetve azt ígérték, megváltoztatják ellenőrzési folyamataikat a hasonló kártevők kiszűrésére. Az Amazon továbbá, ahogy a cég reakcióját az Ars Techinca is idézi, külön kitért rá, orvosolta “stop” paranccsal való fentebb említett visszaélési lehetőségeket, illetve a hamis frissítési értesítések ellen is új védelmi intézkedéseket vezetett be – tisztázva, hogy az ügyfeleknek automatikus biztonsági frissítéseket biztosít, amelyek telepítéséhez soha nem kér jelszót.

A két cég gyors reakciója az ügyben biztató, és remélhetőleg a vállalatok a későbbiekben is hasonlóan komolyan kezelik majd a platformokat fenyegető biztonsági réseket – nem úgy, mint például a Google-nél az Android esetében láthatjuk, ahol bizonyos sérülékenységeket a cég fél év után sem javított. Egyelőre nincs arra utaló jel, hogy külső, rosszindulatú felek hasonló kártevőkkel célozták volna meg a két virtuális asszisztenst, ugyanakkor annak fényében, hogy a Security Research Labs szakértői aránylag egyszerűen átsiklottak a cégek védelmén, nem lenne meglepő, ha a későbbiekben további, kevésbé jó szándékú fenyegetések is megjelennének a platformokon.

https://www.hwsw.hu/hirek/60997/google-alexa-biztonsag-assistant-amazon.html

(Visited 1 times, 1 visits today)