Петро Шкута Не так давно в мережі розгорівся скандал про прослуховування користувачів. Провідну роль відіграли розумні колонки від Amazon і Google. Тепер виявилося, що багато програм сторонніх розробників можуть ще більше.
Розумні колонки від Amazon і Google відрізняються від Apple HomePod один раз істотна функція. Вони дозволяють програмам сторонніх розробників використовувати апаратне забезпечення пристрою. Таким чином програмні інженери обох компаній ведуть нескінченну боротьбу з хакерами, які завжди на крок попереду.
Поділилися експерти з безпеки з сервером ZDNet про свої знахідки. Вся атака на користувача полягає у використанні простої лазівки в роботі операційної системи колонки з вбудованим мікрофоном.
Це пояснюється тим, що програми сторонніх розробників мають можливість отримати доступ до мікрофона динаміка лише протягом обмеженого часу. Однак є можливість продовжити цей час у випадку, якщо не вдалося зрозуміти команду користувача. І це саме той шлях, яким користуються хакери.
Сталася помилка підключення. Введіть пароль свого облікового запису Google
Стандартна поведінка програми приблизно відповідає такій ситуації:
Я прошу Alexa додати товари в мій кошик для покупок програми з мережі магазинів. Додаток перевіряє історію замовлень, щоб порівняти параметри товару, а потім запитує у мене підтвердження. Одночасно він активує мікрофон і чекає на відповідь «так» або «ні». Якщо я не відповідаю, мікрофон вимикається через кілька секунд.
Однак є спосіб обійти відключення мікрофона. Цього можна досягти за допомогою спеціального текстового рядка «�. », записаний у код програми. Це може легко збільшити час активації мікрофона від кількох секунд до значно довшого. Таким чином, програма може весь час підслуховувати користувача.
Другий варіант ще більш підступний. Рядок можна використовувати і задавати навіть для обробки звукової інструкції. Згодом програму можна змусити запитати пароль, наприклад, до облікового запису Amazon або Google. На відео нижче наочно показано всю процедуру.
Це може бути зацікавити вас
Девід Ханак Тим часом Apple не дозволяє стороннім додаткам отримувати прямий доступ до мікрофона HomePod і, ймовірно, ніколи не буде такою ж мірою, як Amazon і Google. Усі розробники повинні використовувати спеціальний API, який обробляє голос. Його користувачі поки що в безпеці.
