Google Home | Bezpečnost | Amazon Echo | Odposlech

Němci ukázali, jak se dá hlasem útočit na majitele Google Home a Amazon Alexa

Němci ukázali, jak se dá hlasem útočit na majitele Google Home a Amazon Alexa | Foto: Amazon

Inženýři z berlínské Security Research Labs na svém blogu demonstrovali zajímavý útok Smart Spies na hlasové asistenty od Amazonu a Googlu – reproduktory Echo a Home.

I když by se v ideálním světě neměl nikdo napálit a tento útok by měl být zcela neškodný, realita je jaká je a lidé dodnes podléhají i zcela pitomým pokušením ze svých poštovních e-schránek.

Takže oč se jedná? Hackeři ze SRLabs vytvořili aplikace/skilly třetí strany pro asistenty obou služeb. Jednalo se o fiktivní horoskop, který lze aktivovat třeba vyslovením „OK Google, ask My Lucky Horoscope to give me the horoscope for Taurus.“

Google Home by se poté spojil s aplikací My Lucky Horoscope, kterou si uživatel ručně aktivoval z nabídky a zeptal se ji na horoskop pro býka. Jenže namísto korektní odpovědi se z reproduktoru ozve hlášení o fiktivní chybě a vše skončí. Podívejte se na video níže.

Majitel Homu nebo Echa nad tím může jen mávnout rukou, jenže po určitém čase se reproduktor ozve znovu s tím, že je k dispozici systémová aktualizace a je třeba vyslovit heslo k účtu Googlu/Amazonu.

Demonstrace na Google Home:

Jistě, 99 % majitelů podobného zařízení si zaťuká na čelo, protože hlasoví asistenti takto nefungují a žádná věrohodná služba by něco takového po vás nikdy nechtěla, jenže to zbývající procento by své heslo dost možná opravdu vyslovilo.

Heslo, pokud by jej vůbec stroj dokázal korektně přeložit na text (speech-to-text modely jsou naučené na běžné slovníkové výrazy), by přitom neskončilo u Googlu nebo Amazonu, ale u tvůrce původní aplikace My Lucky Horoscope.

Demonstrace na Amazon Echo:

Jak je to možné? Zákeřný horoskop je totiž i přes zdánlivou pauzu stále aktivní. Jeho autoři toho docílili tak, že jej nechali ve smyčce vyslovovat nevyslovitelné znaky. Unicode jich nabízí dostatek. Hlasoví asistenti podobné znaky prostě přeskočí, jenže když jich je v řadě ohromné množství, může to zabrat desítky sekund.

Právě proto může požadavek na heslo po určité době znít relativně věrohodně – tedy pokud uživatel v mezidobí nepřeruší Google a Amazon tím, že se zeptá na něco dalšího.

Smart Spies je v každém pouze experiment, proof-of-concept, a nemáme jedinou zprávu o tom, že by někdo podobný postup zneužil ke skutečnému a hlavně úspěšnému útoku. Především ukazuje, že mají hlasoví asistenti stále prostor ke zlepšování svého bezpečnostního UX.

Diskuze (19) Další článek: V listopadu dostane Wi-Fi dalších 338 vagónů Českých drah

Témata článku: Google, Google Asistent, Google Home, Bezpečnost, Amazon Echo, Hacking, Alexa, Amazon, Heslo, Odposlech, Skrze Google Duo, Reproduktor, Asistent, Google - Home, Horoskop, Echo a Home, OK Google, Majitel


Určitě si přečtěte

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Nové iPhony, hodinky a další novinky Applu: Zase bude za co utrácet

Dnes proběhla další velká prezentační akce Applu, na které došlo k odhalení nových iPhonů a dalších novinek. Událost jsme sledovali online, a tak se můžete podívat na chronologický zápis těch nejdůležitějších informací.

David Polesný | 136

10 novinek Androidu 10, které vás budou bavit

10 novinek Androidu 10, které vás budou bavit

Jan Láska, Vladislav Kluska | 28

Starý smartphone nemusí skončit v koši. 10 způsobů, jak ho ještě můžete využít

Starý smartphone nemusí skončit v koši. 10 způsobů, jak ho ještě můžete využít

** Co dělat s vysloužilým chytrým telefonem? Neházejte ho do koše! ** Našli jsme pro vás deset možností, jak ho prakticky využít ** I stará zařízení tak mohou být užitečná

Karel Kilián | 47

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35


Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky