Pametni špijuni: Google i Amazon odobrili aplikacije za virtuelne asistente koje prisluškuju korisnike i kradu lozinke

Vesti, 22.10.2019, 01:00 AM

Pametni špijuni: Google i Amazon odobrili aplikacije za virtuelne asistente koje prisluškuju korisnike i kradu lozinke

Privatnost je vruća tema u svetu virtuelnih asistenata. Da su Amazon Alexa i Google Home pretnja privatnosti to je sada opštepoznata stvar. Radnici obe kompanije slušaju audio snimke korisnika, koji se mogu čuvati zauvek, a ono što snime pametni uređaji podržani asistentima može se koristiti na sudu.

Evo novog razloga za brigu: Amazon i Google odobrili su zlonamerne aplikacije koje su srećom razvili "beli šeširi", hakeri čije su namere bile dobre.

Naime, hakeri iz nemačke firme Security Research Labs napravili su osam aplikacija, četiri za Alexu i četiri za Google Home, i sve one su prošle Amazonove i Googleove procese provere. Reč je o običnim aplikacijama koje su izgledale legitimno, poput aplikacije za horoskop. Ono što je promaklo Amazonu i Googleu je da aplikacije sadrže zlonamerni kod i da koriste bezbednosne slabosti uređaja za fišing i prisluškivanje korisnika.

Aplikacije su mogle da prikupljaju lične podatke, uključujući lozinke, i da prisluškuju korisnike kada su mislili da ih uređaj više ne sluša.

"Uvek je bilo jasno da ti asistenti imaju posledice po privatnost", kaže Fabijan Braunlejn, viši konsultant za bezbednost u SRLabs. "Sada pokazujemo da ne samo proizvođači, već i hakeri mogu zloupotrebiti te pomoćnike za upad u nečiju privatnost."

Zlonamerne aplikacije su imale različita imena i razlikovale su se po načinu rada. Korisnik bi rekao rečenicu kao što je: "Hej Alexa, zamoli moj Lucky Horoscope da mi da horoskop za Bika" ili "OK Google, pitaj moj Lucky Horoscope da mi da horoskop za Bika." Aplikacije za prisluškivanje odgovorale su traženim informacijama, a aplikacije za fišing lažnom porukom o grešci. Tako su aplikacije ostavljale utisak da više ne rade iako su ustvari tiho čekale sledeću fazu napada.

Aplikacije za prisluškivanje davale su očekivane odgovore i potom bi se ućutale. U jednom slučaju, aplikacija je prestala da radi jer je zadatak završen, a u drugom slučaju aplikacija se utišala jer je korisnik dao naredbu „stop“, koju Alexa koristi da prekine rad aplikacije. Ali aplikacije su krišom beležile sve razgovore i slale kopije serveru programera.

Aplikacije za fišing odgovarale su porukom o grešci da tražena usluga nije dostupna u zemlji korisnika. Zatim bi se ućutale da bi se stekao utisak da aplikacija više ne radi. Nakon otprilike jednog minuta, aplikacije koriste glas koji oponaša onaj koji koriste Alexa i Google Home i lažno tvrde da je dostupno ažuriranje uređaja i od korisnika traže lozinku za njegovo instaliranje.

Sve ove zlonamerne aplikacije odobrili su timovi moderatora, a uklonjene su tek kada su istraživači izvestili o svojim rezultatima Amazon i Google.

"Da bi sprečili napade “pametnih špijuna”, Amazon i Google moraju da primene bolju zaštitu počevši od temeljitijeg pregleda aplikacija trećih strana koje su dostupne u njihovim prodavnicama", zaključili su istraživači SLR.

Obe kompanije kažu da sada jačaju svoje procese pregleda aplikacija, ali rasprostranjenost zlonamernih aplikacija za pametne telefone na platformama poput Google Play prodavnice pokazuje koliko je težak zadatak pregleda aplikacija.

SLR je imao savet i za korisnike pametnih zvučnika: “Korisnici moraju biti više svesni potencijala zlonamernih glasovnih aplikacija koje zloupotrebljavaju pametne zvučnike. Korišćenju nove glasovne aplikacije treba da bude pristupano sa sličnim nivoom opreza kao i instalaciji nove aplikacije na vašem pametnom telefonu.”


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Od sada i iPhone može biti sigurnosni ključ za zaštitu Google naloga

Od sada i iPhone može biti sigurnosni ključ za zaštitu Google naloga

Dobre vesti za korisnike iOS-a: sada možete da koristite svoj iPhone ili iPad, sa operativnim sistemom iOS 10 ili novijim, kao fizički sigurnosni kl... Dalje

Microsoft ima novi alat za otkrivanje i prijavljivanje pedofila na internetu

Microsoft ima novi alat za otkrivanje i prijavljivanje pedofila na internetu

Razlozi zašto volimo internet su očigledni i svima poznati, ali kako kažu „sa svakim blagoslovom dolazi prokletstvo“, pa je tako intern... Dalje

Ažurirajte Windows 10 odmah: Američka NSA prvi put prijavila Microsoftu bag koji je otkrila u Windowsu

Ažurirajte Windows 10 odmah: Američka NSA prvi put prijavila Microsoftu bag koji je otkrila u Windowsu

Američka Agencija za nacionalnu bezbednost (NSA) otkrila je veliki bag u Windowsu 10, koji hakeri mogu iskoristiti da naprave zlonamerni softver koji... Dalje

Tramp optužio Apple da odbija da izvrši patriotsku dužnost i otključa telefone ubica i drugih kriminalaca

Tramp optužio Apple da odbija da izvrši patriotsku dužnost i otključa telefone ubica i drugih kriminalaca

Američki predsednik Donald Tramp oglasio se na Twitteru komentarišući odbijanje kompanije Apple da pomogne agentima FBI da otključaju telefone koj... Dalje

SAD bi mogle usvojiti zakon prema kome bi bila zabranjena razmena obaveštajnih podataka sa zemljama koje posluju sa Huawei

SAD bi mogle usvojiti zakon prema kome bi bila zabranjena razmena obaveštajnih podataka sa zemljama koje posluju sa Huawei

Američki senator Tom Koton predstavio je predlog novog zakona kojim bi se zabranila razmena obaveštajnih podataka sa zemljama koje koriste 5G mrežn... Dalje