Bezpečnost | Amazon Echo | Google Home | Odposlech

Němci ukázali, jak se dá hlasem útočit na majitele Google Home a Amazon Alexa

Němci ukázali, jak se dá hlasem útočit na majitele Google Home a Amazon Alexa | Foto: Amazon

Inženýři z berlínské Security Research Labs na svém blogu demonstrovali zajímavý útok Smart Spies na hlasové asistenty od Amazonu a Googlu – reproduktory Echo a Home.

I když by se v ideálním světě neměl nikdo napálit a tento útok by měl být zcela neškodný, realita je jaká je a lidé dodnes podléhají i zcela pitomým pokušením ze svých poštovních e-schránek.

Takže oč se jedná? Hackeři ze SRLabs vytvořili aplikace/skilly třetí strany pro asistenty obou služeb. Jednalo se o fiktivní horoskop, který lze aktivovat třeba vyslovením „OK Google, ask My Lucky Horoscope to give me the horoscope for Taurus.“

Google Home by se poté spojil s aplikací My Lucky Horoscope, kterou si uživatel ručně aktivoval z nabídky a zeptal se ji na horoskop pro býka. Jenže namísto korektní odpovědi se z reproduktoru ozve hlášení o fiktivní chybě a vše skončí. Podívejte se na video níže.

Majitel Homu nebo Echa nad tím může jen mávnout rukou, jenže po určitém čase se reproduktor ozve znovu s tím, že je k dispozici systémová aktualizace a je třeba vyslovit heslo k účtu Googlu/Amazonu.

Demonstrace na Google Home:

Jistě, 99 % majitelů podobného zařízení si zaťuká na čelo, protože hlasoví asistenti takto nefungují a žádná věrohodná služba by něco takového po vás nikdy nechtěla, jenže to zbývající procento by své heslo dost možná opravdu vyslovilo.

Heslo, pokud by jej vůbec stroj dokázal korektně přeložit na text (speech-to-text modely jsou naučené na běžné slovníkové výrazy), by přitom neskončilo u Googlu nebo Amazonu, ale u tvůrce původní aplikace My Lucky Horoscope.

Demonstrace na Amazon Echo:

Jak je to možné? Zákeřný horoskop je totiž i přes zdánlivou pauzu stále aktivní. Jeho autoři toho docílili tak, že jej nechali ve smyčce vyslovovat nevyslovitelné znaky. Unicode jich nabízí dostatek. Hlasoví asistenti podobné znaky prostě přeskočí, jenže když jich je v řadě ohromné množství, může to zabrat desítky sekund.

Právě proto může požadavek na heslo po určité době znít relativně věrohodně – tedy pokud uživatel v mezidobí nepřeruší Google a Amazon tím, že se zeptá na něco dalšího.

Smart Spies je v každém pouze experiment, proof-of-concept, a nemáme jedinou zprávu o tom, že by někdo podobný postup zneužil ke skutečnému a hlavně úspěšnému útoku. Především ukazuje, že mají hlasoví asistenti stále prostor ke zlepšování svého bezpečnostního UX.

Diskuze (19) Další článek: V listopadu dostane Wi-Fi dalších 338 vagónů Českých drah

Témata článku: Google, Google Asistent, Bezpečnost, Amazon, Amazon Echo, Hacking, Google Home, Alexa, Heslo, Odposlech, Reproduktor, Skrze Google Duo, OK Google, Google - Home, Horoskop, Asistent, Majitel, Echo a Home


Určitě si přečtěte

Je to dobré, cetky z AliExpressu budou nejspíše relativně levné i v roce 2021

Je to dobré, cetky z AliExpressu budou nejspíše relativně levné i v roce 2021

** V roce 2021 začneme platit DPH i u laciného zboží z asijských e-shopů ** Daň ale budeme většinou platit už na e-shopech ** Nemusíte se bát zdlouhavého a drahého celního řízení

Jakub Čížek | 72

10 věcí, které jste odkládali „na jindy“, ale teď je konečně můžete udělat

10 věcí, které jste odkládali „na jindy“, ale teď je konečně můžete udělat

** Karanténní opatření nás drží doma a mnozí mají více času navíc ** Připomeneme proto často odkládané činnosti uživatelů počítačů ** Právě teď je ten správný okamžik, kdy se do nich pustit

Karel Kilián | 75

Deset kotev, které i v roce 2020 táhnou Android ke dnu

Deset kotev, které i v roce 2020 táhnou Android ke dnu

** Android existuje skoro 12 let a za tu dobu v mnoha směrech dospěl ** Dnes běží na sedmi z deseti telefonů, ale čemu za to vděčí? ** Našli jsme 10 kotev, které táhnou tento operační systém ke dnu

Karel Kilián | 162


Aktuální číslo časopisu Computer

Megatest 24 PC zdrojů

Jak využít umělou inteligenci

10 špičkových sluchátek s ANC

Playstation 5 vs Xbox Series X