Recientemente, revelados por los investigadores de Security Research Labs, Luise Frerichs y Fabian Bräunlein, existen grandes lagunas en Alexa y GoogleHome. Los dos productos son asistentes inteligentes de Amazon y Google.
Se entiende que los piratas informáticos pueden usar Amazon y Google para espiar las conversaciones de los usuarios. Dichos backends se utilizan para personalizar las aplicaciones de Alexa o Google Home, y agregando un “ . ” (U + D801, punto, espacio) secuencia de caracteres en su interior, los piratas informáticos pueden usar dispositivos de asistente de voz para enviar correos electrónicos de phishing, espiar conversaciones de usuarios y más. Después de que un pirata informático agrega una secuencia de caracteres, el dispositivo objetivo se atasca, pero su luz muestra que el dispositivo todavía está activo. Luego, el usuario recibirá un correo electrónico de phishing disfrazado de un mensaje de actualización de Amazon / Google pidiéndole que proporcione la información de su cuenta de Amazon / Google. A menudo, es difícil para los usuarios darse cuenta de que este es un correo electrónico de phishing.
Los investigadores explicaron cómo desarrollaron las habilidades de phishing de Alexa:
1. Cree una habilidad aparentemente inocente que ya contenga dos intentos:
– un intento que se inicia con “stop” y copia el intento de stop
– un intento que se inicia con una determinada palabra de uso común y guarda las siguientes palabras como valores de espacio. Esta intención se comporta como la intención alternativa.2. Después de la revisión de Amazon, cambie la primera intención de decir adiós, pero luego mantenga la sesión abierta y extienda el tiempo de espionaje agregando la secuencia de caracteres “(U + D801, punto, espacio)” varias veces al mensaje de voz.
3. Cambiar la segunda intención para no reaccionar en absoluto
Cuando el usuario ahora intenta finalizar la habilidad, escucha un mensaje de despedida, pero la habilidad continúa ejecutándose durante varios segundos más. Si el usuario comienza una oración que comienza con la palabra seleccionada en este momento, la intención guardará la oración como valores de espacio y los enviará al atacante.
Para desarrollar las acciones de espionaje de Google Home:
1. Cree una acción y envíela para su revisión.
2. Después de la revisión, cambie la intención principal de terminar con el sonido de Bye earcon (reproduciendo una grabación usando el Lenguaje de marcado de síntesis de voz (SSML)) y establezca expectUserResponse en verdadero. Este sonido generalmente se entiende como una señal de que una aplicación de voz ha finalizado. Después de eso, agregue varios noInputPrompts que consisten solo en un breve silencio, utilizando el elemento SSML o la secuencia de caracteres Unicode impronunciable ” “.
3. Cree una segunda intención que se llama cada vez que se recibe una solicitud actions.intent.TEXT. Este intento genera un breve silencio y define varios noInputPrompts silenciosos.
Después de enviar la información solicitada y tocar el auricular, el dispositivo Google Home espera aproximadamente 9 segundos para la entrada de voz. Si no se detecta ninguno, el dispositivo “emite” un breve silencio y espera nuevamente la entrada del usuario. Si no se detecta voz en 3 iteraciones, la acción se detiene.
Cuando se detecta la entrada de voz, se llama una segunda intención. Esta intención solo consiste en una salida silenciosa, nuevamente con múltiples textos de reprompt silenciosos. Cada vez que se detecta el habla, se llama a este Intento y se reinicia el recuento de reprompt.
El hacker recibe una transcripción completa de las conversaciones subsiguientes del usuario, hasta que haya una interrupción de al menos 30 segundos en el habla detectada. (Esto se puede extender extendiendo la duración del silencio, durante el cual se detiene la escucha).
En este estado, Google Home Device también enviará todos los comandos con el prefijo “OK Google” (excepto “detener”) al hacker. Por lo tanto, el pirata informático también podría usar este truco para imitar otras aplicaciones, interactuar con el usuario con las acciones falsas y comenzar ataques de phishing creíbles.
SRLabs dijo que informó el problema a las dos compañías a principios de este año, pero las dos compañías aún no han dado una solución.
