Test odhalil závažnou chybu v zabezpečení chytrých reproduktorů od Googlu a Amazonu

Odborníci na počítačovou bezpečnost ze společnosti SRLab odhalili novou zásadní chybu zabezpečení chytrých reproduktorů od společností Google a Amazon. Ta měla umožnit odposlouchávat nebo dokonce podnikat phishingové útoky na uživatele. Chyba útočníkům umožňuje nahrát do chytrého reproduktoru škodlivý software maskovaný za neškodnou dovednost Googlu nebo Alexy.

Objevit se mohou případy, kdy uživatelé byli nahráváni nebo je jejich reproduktor pod falešnou záminkou vyzval k zadání hesla k jejich Google účtu. Této chyby se mohou uživatelé vyvarovat, pokud budou pečlivě zkoumat aplikace a software třetích stran, které si do svého chytrého reproduktoru nahrávají.

Pracovníci SRLab několik takových podvodných programů samy vytvořili a otestovali, že jsou plně funkční a to vše v laboratorních podmínkách. O možné zranitelnosti pak informovali výrobce zařízení před tím, než své poznatky představili veřejnosti. Podle dostupných zpráv k žádnému reálnému zneužití těchto chyb doposud nedošlo.

Jedna z aplikací, kterou vyvinuli umožňuje zadat chytrému reproduktoru jednoduchý úkol – vygenerovat náhodné číslo. Poté co reproduktor řekne náhodné číslo pokračuje v poslechu dál, vše zaznamenává a de facto tak odposlouchává uživatele. Další aplikace dokáže Alexu přimět, aby ignorovala příkaz stop vydaný uživatelem a dále pokračovala v naslouchání. Další aplikace pak generovaly chybová hlášení a vyžadovaly po uživateli zadání hesla pro Google účet.

Ačkoliv samotné aplikace musí být schváleny společnostmi Amazon nebo Google, takže by u nich k ohrožení dojít nemělo, nikdo už následně nekontroluje jejich aktualizace. A to je právě cesta k možnému napadení uživatelů.

Společnosti Google a Amazon zareagovaly na zjištění SRLabu zavedením nových kontrolních procesů a úpravou těch stávajících.

Zdroj: arstechnica.com