Pametni špijuni: Google i Amazon odobrili aplikacije za virtuelne asistente koje prisluškuju korisnike i kradu lozinke

Vesti, 22.10.2019, 01:00 AM

Pametni špijuni: Google i Amazon odobrili aplikacije za virtuelne asistente koje prisluškuju korisnike i kradu lozinke

Privatnost je vruća tema u svetu virtuelnih asistenata. Da su Amazon Alexa i Google Home pretnja privatnosti to je sada opštepoznata stvar. Radnici obe kompanije slušaju audio snimke korisnika, koji se mogu čuvati zauvek, a ono što snime pametni uređaji podržani asistentima može se koristiti na sudu.

Evo novog razloga za brigu: Amazon i Google odobrili su zlonamerne aplikacije koje su srećom razvili "beli šeširi", hakeri čije su namere bile dobre.

Naime, hakeri iz nemačke firme Security Research Labs napravili su osam aplikacija, četiri za Alexu i četiri za Google Home, i sve one su prošle Amazonove i Googleove procese provere. Reč je o običnim aplikacijama koje su izgledale legitimno, poput aplikacije za horoskop. Ono što je promaklo Amazonu i Googleu je da aplikacije sadrže zlonamerni kod i da koriste bezbednosne slabosti uređaja za fišing i prisluškivanje korisnika.

Aplikacije su mogle da prikupljaju lične podatke, uključujući lozinke, i da prisluškuju korisnike kada su mislili da ih uređaj više ne sluša.

"Uvek je bilo jasno da ti asistenti imaju posledice po privatnost", kaže Fabijan Braunlejn, viši konsultant za bezbednost u SRLabs. "Sada pokazujemo da ne samo proizvođači, već i hakeri mogu zloupotrebiti te pomoćnike za upad u nečiju privatnost."

Zlonamerne aplikacije su imale različita imena i razlikovale su se po načinu rada. Korisnik bi rekao rečenicu kao što je: "Hej Alexa, zamoli moj Lucky Horoscope da mi da horoskop za Bika" ili "OK Google, pitaj moj Lucky Horoscope da mi da horoskop za Bika." Aplikacije za prisluškivanje odgovorale su traženim informacijama, a aplikacije za fišing lažnom porukom o grešci. Tako su aplikacije ostavljale utisak da više ne rade iako su ustvari tiho čekale sledeću fazu napada.

Aplikacije za prisluškivanje davale su očekivane odgovore i potom bi se ućutale. U jednom slučaju, aplikacija je prestala da radi jer je zadatak završen, a u drugom slučaju aplikacija se utišala jer je korisnik dao naredbu „stop“, koju Alexa koristi da prekine rad aplikacije. Ali aplikacije su krišom beležile sve razgovore i slale kopije serveru programera.

Aplikacije za fišing odgovarale su porukom o grešci da tražena usluga nije dostupna u zemlji korisnika. Zatim bi se ućutale da bi se stekao utisak da aplikacija više ne radi. Nakon otprilike jednog minuta, aplikacije koriste glas koji oponaša onaj koji koriste Alexa i Google Home i lažno tvrde da je dostupno ažuriranje uređaja i od korisnika traže lozinku za njegovo instaliranje.

Sve ove zlonamerne aplikacije odobrili su timovi moderatora, a uklonjene su tek kada su istraživači izvestili o svojim rezultatima Amazon i Google.

"Da bi sprečili napade “pametnih špijuna”, Amazon i Google moraju da primene bolju zaštitu počevši od temeljitijeg pregleda aplikacija trećih strana koje su dostupne u njihovim prodavnicama", zaključili su istraživači SLR.

Obe kompanije kažu da sada jačaju svoje procese pregleda aplikacija, ali rasprostranjenost zlonamernih aplikacija za pametne telefone na platformama poput Google Play prodavnice pokazuje koliko je težak zadatak pregleda aplikacija.

SLR je imao savet i za korisnike pametnih zvučnika: “Korisnici moraju biti više svesni potencijala zlonamernih glasovnih aplikacija koje zloupotrebljavaju pametne zvučnike. Korišćenju nove glasovne aplikacije treba da bude pristupano sa sličnim nivoom opreza kao i instalaciji nove aplikacije na vašem pametnom telefonu.”


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi macOS malver ClickLock krade podatke uz pomoć korisnika

Novi macOS malver ClickLock krade podatke uz pomoć korisnika

Istraživači kompanije Group-IB otkrili su novi macOS malver pod nazivom ClickLock Stealer, koji za kompromitovanje uređaja ne koristi ranjivosti op... Dalje

Chrome ekstenzija sa skoro milion korisnika uklonjena zbog sumnjivog prikupljanja podataka

Chrome ekstenzija sa skoro milion korisnika uklonjena zbog sumnjivog prikupljanja podataka

Google je uklonio popularnu Chrome ekstenziju ModHeader iz Chrome Web Store-a nakon što su istraživači kompanije Stripe otkrili skrivene funkcional... Dalje

LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja

LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja

Kompanija LastPass je upozorila korisnike na novu fišing kampanju u kojoj napadači koriste lažna bezbednosna obaveštenja kako bi ih usmerili na zl... Dalje

Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika

Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika

Apple je upozorio korisnike iPhone i iPad uređaja da svaki neočekivani FaceTime poziv, poruku ili zahtev za deljenje ličnih podataka tretiraju kao ... Dalje

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Istraživači kompanije Group-IB upozoravaju na novu verziju Android malvera RedHook, koja koristi funkciju Wireless ADB kako bi stekla privilegije zn... Dalje