Petr Škuta Non molto tempo fa, su Internet è scoppiato uno scandalo sulle intercettazioni degli utenti. Gli altoparlanti intelligenti di Amazon e Google hanno avuto un ruolo di primo piano. Ora si scopre che molte app di terze parti possono fare ancora di più.
Gli altoparlanti intelligenti di Amazon e Google sono diversi da quelli di Apple HomePod una volta funzione essenziale. Consentono alle applicazioni di terze parti di utilizzare l'hardware del dispositivo. Gli ingegneri informatici di entrambe le aziende intraprendono quindi una battaglia senza fine con gli hacker, che sono sempre un passo avanti.
Lo hanno condiviso gli esperti di sicurezza con il server ZDNet sulle loro scoperte. L'intero attacco all'utente consiste nell'utilizzare una semplice scappatoia nel funzionamento del sistema operativo dell'altoparlante con microfono incorporato.
Questo perché le applicazioni di terze parti hanno la possibilità di accedere al microfono di chi parla solo per un limite di tempo limitato. Esiste tuttavia la possibilità di estendere questo tempo nel caso in cui non fosse possibile comprendere il comando dell'utente. E questo è esattamente il percorso utilizzato dagli hacker.
Si è verificato un errore di connessione. Inserisci la password del tuo account Google
Il comportamento standard dell'applicazione corrisponde grosso modo alla seguente situazione:
Chiedo ad Alexa di aggiungere articoli al carrello della mia app da una catena di negozi. L'applicazione controlla lo storico degli ordini per confrontare i parametri della merce e poi mi chiede conferma. Allo stesso tempo attiva il microfono e attende una risposta sì o no. Se non rispondo il microfono si spegne dopo qualche secondo.
Tuttavia, esiste un modo per bypassare il silenziamento del microfono. Ciò può essere ottenuto con una stringa di testo speciale "�. " scritto nel codice dell'applicazione. Ciò può facilmente aumentare il tempo di attivazione del microfono da pochi secondi a molto più lungo. L'applicazione può quindi origliare l'utente in ogni momento.
La seconda opzione è ancora più insidiosa. La stringa può essere utilizzata e impostata anche per l'elaborazione di un'istruzione audio. Successivamente, l'applicazione può essere costretta a richiedere una password, ad esempio, per un account Amazon o Google. I video seguenti mostrano chiaramente l'intero processo.
Potrebbe essere ti interessa
David Hanak Nel frattempo, Apple non consente alle app di terze parti di accedere direttamente al microfono dell'HomePod, e probabilmente non lo farà mai nella stessa misura di Amazon e Google. Tutti gli sviluppatori devono utilizzare un'API speciale che gestisca la voce. I suoi utenti sono al sicuro per ora.
