Petr Škuta Nem is olyan régen volt egy botrány az interneten a felhasználók lehallgatásáról. Az Amazon és a Google intelligens hangszórói játszottak vezető szerepet. Most kiderült, hogy sok harmadik féltől származó alkalmazás még többre képes.
Az Amazon és a Google intelligens hangszórói eltérnek az Apple-től HomePod egyszer alapvető funkciója. Lehetővé teszik harmadik féltől származó alkalmazások számára az eszköz hardverének használatát. Mindkét cég szoftvermérnökei így végtelen harcot vívnak a hackerekkel, akik mindig egy lépéssel előrébb járnak.
Biztonsági szakértők megosztották a ZDNet szerverrel megállapításaikról. A felhasználó elleni teljes támadás abból áll, hogy egy egyszerű kiskaput használnak a beépített mikrofonnal rendelkező hangszóró operációs rendszerének működésében.
Ennek az az oka, hogy a harmadik féltől származó alkalmazások csak korlátozott ideig képesek hozzáférni a hangszóró mikrofonjához. Lehetőség van azonban ezen idő meghosszabbítására abban az esetben, ha a felhasználó parancsát nem lehetett megérteni. És pontosan ezt az utat használják a hackerek.
Csatlakozási hiba történt. Kérjük, adja meg Google Fiókja jelszavát
Az alkalmazás szokásos viselkedése nagyjából megfelel a következő helyzetnek:
Megkérem Alexát, hogy tegyen termékeket az alkalmazás bevásárlókosarába egy üzletláncból. Az alkalmazás ellenőrzi a rendelési előzményeket, hogy összehasonlítsa az áruk paramétereit, majd megerősítést kér tőlem. Ezzel egyidejűleg aktiválja a mikrofont, és igen vagy nem válaszra vár. Ha nem válaszolok, a mikrofon néhány másodperc múlva kikapcsol.
Van azonban mód a mikrofon némításának megkerülésére. Ez egy speciális "�" szöveges karakterlánc segítségével érhető el. ” írva az alkalmazás kódjába. Ez könnyen megnövelheti a mikrofon aktiválási idejét néhány másodpercről sokkal hosszabbra. Az alkalmazás így folyamatosan lehallgathatja a felhasználót.
A második lehetőség még alattomosabb. A karakterlánc használható és beállítható akár egy hangutasítás feldolgozásához is. Ezt követően az alkalmazás arra kényszeríthető, hogy jelszót kérjen például egy Amazon vagy Google fiókhoz. Az alábbi videók egyértelműen bemutatják a teljes folyamatot.
Lehet, hogy érdekel téged
David Hanak Eközben az Apple nem engedélyezi a harmadik féltől származó alkalmazások számára, hogy közvetlenül hozzáférjenek a HomePod mikrofonjához, és valószínűleg soha nem is fog olyan mértékben, mint az Amazon és a Google. Minden fejlesztőnek speciális API-t kell használnia, amely kezeli a hangot. Felhasználói egyelőre biztonságban vannak.
