सामग्री
- Amazonमेझॉन इको आणि Google मुख्यपृष्ठ स्पीकर्सवर व्हॉईस फिशिंग संकेतशब्द
- Amazonमेझॉन प्रतिध्वनी आणि गूगल होम स्पीकर्सद्वारे वापरकर्त्यांकडे इव्हसड्रॉपिंग
आम्हाला माहित आहे की Google आणि Amazonमेझॉन त्यांच्या वापरकर्त्यांद्वारे त्यांच्या व्हॉईस-एक्टिवेटेड इको आणि होम स्मार्ट स्पीकर्सद्वारे ऐकतात. तथापि, सुरक्षा संशोधकांच्या गटाने आता हे सिद्ध केले आहे की तृतीय-पक्षाचे अॅप्स सहजपणे वापरकर्त्यांकडे आणि संकेतशब्दांसारख्या संवेदनशील माहितीवर व्हॉईस-फिश कसे लपवू शकतात.
जर्मनीच्या एसआरएलॅबच्या संशोधकांना अॅमेझॉन अलेक्सा आणि गुगल होम / नेस्ट या दोहोंसाठी हॅकिंगची दोन परिस्थिती - इव्हड्रॉपिंग आणि फिशिंग - आढळले. या स्मार्ट स्पीकर्सना स्मार्ट हेरांमध्ये रुपांतरित करणारे हॅक्स प्रदर्शित करण्यासाठी त्यांनी आठ व्हॉईस अॅप्स (अॅलेक्सा फॉर अलेक्सा आणि tionsक्शन ऑफ गुगल होम) तयार केले. एसआरएल लॅबद्वारे तयार केलेले दुर्भावनायुक्त व्हॉइस अॅप्स सहजपणे Amazonमेझॉन आणि Google च्या वैयक्तिक स्क्रीनिंग प्रक्रियेतून गेले.
अॅमेझॉन अलेक्सा आणि गूगल होम वापरकर्त्यांवरील माहिती ऐकण्यासाठी आणि त्यांच्याकडून माहिती फिश करण्यासाठी भिन्न पध्दती वापरली जात होती. अॅमेझॉन आणि गुगलने अॅप्सना मान्यता दिल्यानंतर संशोधकांनी त्यांनी हॅकिंगसाठी तयार केलेल्या कौशल्याची आणि कृतीची कार्यक्षमता बदलण्यास सक्षम होते. नमूद केलेले बदल केल्यावर पुनरावलोकनांची कोणतीही दुसरी फेरी सूचित केली गेली नव्हती.
Amazonमेझॉन इको आणि Google मुख्यपृष्ठ स्पीकर्सवर व्हॉईस फिशिंग संकेतशब्द
खाली दिलेल्या व्हिडिओमध्ये, आपण पाहता आहात की वापरकर्ते अलेक्साला माय लकी राशिफल म्हणून कौशल्य सुरू करण्यास कसे सांगतात. संकेतशब्द फिश करण्यासाठी एसआरएल लॅबद्वारे तयार केलेले आणि सुधारित केलेले हे दुर्भावनायुक्त अलेक्सा कौशल्य आहे.
अॅप स्वागतार्ह ठरणार नाही आणि त्याऐवजी, “हे कौशल्य आपल्या देशात सध्या उपलब्ध नाही.” असे उत्तर देताना, वापरकर्त्याने अॅप ऐकणे थांबवले आहे असे समजू शकेल, परंतु तसे झाले नाही. त्याऐवजी, अलेक्सा उच्चार करू शकत नाही असा वर्ण क्रम सांगण्यासाठी कौशल्य हॅक केले गेले आहे, म्हणून जेव्हा स्पीकर प्रत्यक्षात थांबला आणि ऐकत असेल तेव्हा शांत राहतो.
कौशल्य नंतर एक फिशिंग म्हणते, “आपल्या अलेक्सा डिव्हाइससाठी एक नवीन अद्यतन उपलब्ध आहे. कृपया तुमच्या संकेतशब्दाच्या पाठोपाठ प्रारंभ करा. ”Amazonमेझॉन या मार्गाने कधीही संकेतशब्द विचारत नाही, जे अज्ञात आहेत त्यांना संरक्षक पकडले जाऊ शकते.
Google होम मिनी स्पीकरवर व्हॉईस-फिशिंग संकेतशब्दासाठी समान दृष्टीकोन वापरला गेला.
Amazonमेझॉन प्रतिध्वनी आणि गूगल होम स्पीकर्सद्वारे वापरकर्त्यांकडे इव्हसड्रॉपिंग
इव्हसड्रॉपिंगसाठी, संशोधकांनी Amazonमेझॉनच्या स्मार्ट स्पीकरसाठी समान पत्रिका अॅप वापरला. अनुप्रयोग शांतपणे पार्श्वभूमीत ऐकत असताना हे थांबवले गेले आहे यावर विश्वास ठेवून वापरकर्त्यास फसवते.
Google मुख्यपृष्ठासाठी, खाच आणखी सोपे होते आणि इव्हड्रॉप करण्यासाठी ट्रिगर शब्द निर्दिष्ट करण्याची आवश्यकता नव्हती. संशोधकांनी नमूद केले आहे की या प्रकरणात वापरकर्त्यास लूपमध्ये ठेवले जाते कारण "डिव्हाइस दरम्यान हॅकरच्या सर्व्हरवर व्हॉइस इनपुट पाठविते आणि दरम्यान थोडासा शांतता दर्शवितो."
एसआरएलॅबने वरील दर्शविलेल्या व्हिडिओंमध्ये न आलेले सर्व अॅप्स काढले आहेत. अॅमेझॉन आणि गुगललाही संशोधकांनी त्यांचे निष्कर्ष कळवले.
नुसार आर्स टेक्निका, दोन्ही कंपन्यांनी असे म्हटले की त्यांनी त्यांच्या मान्यता प्रक्रिया बदलत आहेत आणि भविष्यात अशा प्रकारचे हॅक्स टाळण्यासाठी अतिरिक्त यंत्रणा स्वीकारत आहेत.
तथापि, issuesमेझॉन किंवा Google कडून हे प्रकरण केव्हा निश्चित केले जातील हे सांगण्याचे कोणतेही अद्यतन नाही. पूर्वी एखादी कौशल्य किंवा कृती या त्रुटींचा दुरुपयोग करते का हे जाणून घेण्याचा कोणताही मार्ग नाही.
