Szerző: Hlács Ferenc

2019. október 21. 12:48

Kémappok jutottak át Google Assistant és az Alexa védelmén

Biztonsági szakértők sikeresen vették ostrom alá a két legnagyobb hangalapú platformot. A Google és az Amazon is gyorsan javította a hibákat, egyelőre nem tudni, rosszindulatú felek esetében volt-e már hasonló visszaélés.

Bár az okoshangszórók népszerűsége az utóbbi években robbanásszerűen megnőtt, ezzel együtt a folyamatosan fülelő készülékekkel kapcsolatos biztonsági kockázatok is egyre inkább előtérbe kerültek. A helyzeten nem segítettek a szegmensben népszerű cégek nyáron kirobbant botrányai sem, melyek során kiderült, a készített hangfelvételeket a vállalatok alvállalkozói rendszeresen hallgatják - az Amazon esetében pedig nincs is lehetőség azok törlésére.

Az aggodalmakra most egy új jelenség tesz rá még egy lapáttal: az Amazon és a Google platformjaira is bejutottak rosszindulatú, a felhasználók után kémkedő hangalapú alkalmazások. Szerencsére egyelőre nincs szó tényleges, ismert fenyegetésről, a szóban forgó kártevőket ugyanis a német Security Research Labs fejlesztette, hogy kipróbálja, valóban át tudja-e csempészni azokat a cégek védvonalain. Mint az Ars Technica beszámolt róla, a kísérlet sikeres volt, a kutatók nyolc alkalmazása átment az Amazon és a Google biztonsági szűrésén, és be is került azok hangalapú asszisztenseihez szánt alkalmazásboltjaiba.

Beszélgetések és jelszavak után füleltek

Ahogy az a mobilos platformokat célzó malware-eknél is lenni szokott, a rosszindulatú szoftverek valamilyen egyszerű, "ártatlan" appnak álcázzák magukat - a Security Research Labs horoszkópfelolvasó appok, illetve egy véletlenszám-generátor mögé bújtatta kártevőit, amelyek aztán hallgatóztak a felhasználók beszélgetései után, sőt, jelszavaikat is igyekeztek megszerezni, phishing támadásokkal.

amznecho01

A beszélgetések lehallgatására kihegyezett appok hangparancsra elvégezték a rájuk bízott feladatot, azaz felolvasták a kért horoszkópot, majd elhallgattak - a háttérben ugyanakkor továbbra is aktívan figyelték az eszköz mikrofonjait, a rögzített beszélgetéseket pedig továbbították a készítők szervereire.

A phishing támadásoknál az appok eggyel tovább mentek, és a hangparancsokra válaszul hibaüzenetet dobtak, arról tájékoztatva a felhasználót, hogy a szolgáltatás nem érhető el az adott országban. Ezután a fentiekhez hasonlóan elhallgattak, ugyancsak azt a látszatot keltve, hogy az app már nem fut - majd rövid idő elteltével, az Alexa vagy a Google Assistant hangját utánozva szoftverfrissítésre hivatkozva a felhasználó jelszavát kérték a nem létező patch telepítéséhez.

Miért nem beszélni AI tökéletesen magyart?

Milyen kihívásokat tartogat egy magyar nyelvi modell, például a PuliGPT fejlesztése?

Miért nem beszélni AI tökéletesen magyart? Milyen kihívásokat tartogat egy magyar nyelvi modell, például a PuliGPT fejlesztése?

A Security Research Labs először négy, angol nyelvű appal jutott át a platformok védvonalain, majd a sikeres teszt után azokat eltávolította az alkalmazásboltokból, nem sokkal később pedig négy német nyelvű alkalmazással is megismételte a mutatványt. A rosszindulatú appokat sem a Google, sem az Amazon nem tudta elcsípni, a második eresztést pedig csak azután törölték felületeikről, hogy azokat maguk a fejlesztők jelentették a két cégnek.

Szinte azonos sebezhetőségek

Hogy az alkalmazások a válaszok - vagy épp a hibaüzenet - felolvasását követően is csendben tovább futhassanak, a fejlesztők mindkét platformon egy speciális karakter bevetésével érték el, amelyet a virtuális asszisztensek text-to-speech motorjaik hibája miatt képtelenek voltak felolvasni. Az asszisztensek egy másik gyengesége a parancsokban rejlő "intent" vagy "szándék" kategóriába eső kulcsszavakban gyökerezett - utóbbiak közül a szakértők a "start" és "stop", azaz az appot indító és leállító parancsokat is sikeresen manipulálták. Az ilyen intenteket ráadásul azután is tudták módosítani, hogy az Amazon, illetve a Google már átengedte az adott appot biztonsági ellenőrzésein.

nesthome

A szakértők jelezték a sérülékenységeket a két vállalat felé, akik törölték a szóban forgó appokat alkalmazásboltjaikból, illetve azt ígérték, megváltoztatják ellenőrzési folyamataikat a hasonló kártevők kiszűrésére. Az Amazon továbbá, ahogy a cég reakcióját az Ars Techinca is idézi, külön kitért rá, orvosolta "stop" paranccsal való fentebb említett visszaélési lehetőségeket, illetve a hamis frissítési értesítések ellen is új védelmi intézkedéseket vezetett be - tisztázva, hogy az ügyfeleknek automatikus biztonsági frissítéseket biztosít, amelyek telepítéséhez soha nem kér jelszót.

A két cég gyors reakciója az ügyben biztató, és remélhetőleg a vállalatok a későbbiekben is hasonlóan komolyan kezelik majd a platformokat fenyegető biztonsági réseket - nem úgy, mint például a Google-nél az Android esetében láthatjuk, ahol bizonyos sérülékenységeket a cég fél év után sem javított. Egyelőre nincs arra utaló jel, hogy külső, rosszindulatú felek hasonló kártevőkkel célozták volna meg a két virtuális asszisztenst, ugyanakkor annak fényében, hogy a Security Research Labs szakértői aránylag egyszerűen átsiklottak a cégek védelmén, nem lenne meglepő, ha a későbbiekben további, kevésbé jó szándékú fenyegetések is megjelennének a platformokon.

Nagyon széles az a skála, amin a állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról

fab

5

Chipgyártó nagyhatalommá válna India

2024. március 18. 12:39

A helyi politikai vezetés szerint van rá esély, hogy a következő néhány évben az ország bekerüljön az öt vezető ország közé.