Pametni špijuni: Google i Amazon odobrili aplikacije za virtuelne asistente koje prisluškuju korisnike i kradu lozinke

Vesti, 22.10.2019, 01:00 AM

Privatnost je vruća tema u svetu virtuelnih asistenata. Da su Amazon Alexa i Google Home pretnja privatnosti to je sada opštepoznata stvar. Radnici obe kompanije slušaju audio snimke korisnika, koji se mogu čuvati zauvek, a ono što snime pametni uređaji podržani asistentima može se koristiti na sudu.

Evo novog razloga za brigu: Amazon i Google odobrili su zlonamerne aplikacije koje su srećom razvili "beli šeširi", hakeri čije su namere bile dobre.

Naime, hakeri iz nemačke firme Security Research Labs napravili su osam aplikacija, četiri za Alexu i četiri za Google Home, i sve one su prošle Amazonove i Googleove procese provere. Reč je o običnim aplikacijama koje su izgledale legitimno, poput aplikacije za horoskop. Ono što je promaklo Amazonu i Googleu je da aplikacije sadrže zlonamerni kod i da koriste bezbednosne slabosti uređaja za fišing i prisluškivanje korisnika.

Aplikacije su mogle da prikupljaju lične podatke, uključujući lozinke, i da prisluškuju korisnike kada su mislili da ih uređaj više ne sluša.

"Uvek je bilo jasno da ti asistenti imaju posledice po privatnost", kaže Fabijan Braunlejn, viši konsultant za bezbednost u SRLabs. "Sada pokazujemo da ne samo proizvođači, već i hakeri mogu zloupotrebiti te pomoćnike za upad u nečiju privatnost."

Zlonamerne aplikacije su imale različita imena i razlikovale su se po načinu rada. Korisnik bi rekao rečenicu kao što je: "Hej Alexa, zamoli moj Lucky Horoscope da mi da horoskop za Bika" ili "OK Google, pitaj moj Lucky Horoscope da mi da horoskop za Bika." Aplikacije za prisluškivanje odgovorale su traženim informacijama, a aplikacije za fišing lažnom porukom o grešci. Tako su aplikacije ostavljale utisak da više ne rade iako su ustvari tiho čekale sledeću fazu napada.

Aplikacije za prisluškivanje davale su očekivane odgovore i potom bi se ućutale. U jednom slučaju, aplikacija je prestala da radi jer je zadatak završen, a u drugom slučaju aplikacija se utišala jer je korisnik dao naredbu „stop“, koju Alexa koristi da prekine rad aplikacije. Ali aplikacije su krišom beležile sve razgovore i slale kopije serveru programera.

Aplikacije za fišing odgovarale su porukom o grešci da tražena usluga nije dostupna u zemlji korisnika. Zatim bi se ućutale da bi se stekao utisak da aplikacija više ne radi. Nakon otprilike jednog minuta, aplikacije koriste glas koji oponaša onaj koji koriste Alexa i Google Home i lažno tvrde da je dostupno ažuriranje uređaja i od korisnika traže lozinku za njegovo instaliranje.

Sve ove zlonamerne aplikacije odobrili su timovi moderatora, a uklonjene su tek kada su istraživači izvestili o svojim rezultatima Amazon i Google.

"Da bi sprečili napade “pametnih špijuna”, Amazon i Google moraju da primene bolju zaštitu počevši od temeljitijeg pregleda aplikacija trećih strana koje su dostupne u njihovim prodavnicama", zaključili su istraživači SLR.

Obe kompanije kažu da sada jačaju svoje procese pregleda aplikacija, ali rasprostranjenost zlonamernih aplikacija za pametne telefone na platformama poput Google Play prodavnice pokazuje koliko je težak zadatak pregleda aplikacija.

SLR je imao savet i za korisnike pametnih zvučnika: “Korisnici moraju biti više svesni potencijala zlonamernih glasovnih aplikacija koje zloupotrebljavaju pametne zvučnike. Korišćenju nove glasovne aplikacije treba da bude pristupano sa sličnim nivoom opreza kao i instalaciji nove aplikacije na vašem pametnom telefonu.”