Kémappokkal fertőzték meg Google Assistantot és az Alexát. A két cég javította a kihasznált hibát, de...

Etikus hekkerek kísérletileg is bizonyították, hogyan lehet meghekkelni a két legelterjedtebb intelligens hangalapú asszisztenst, a Google Assistantot és az Amazon Alexáját – számolt be a Business Insider. Működő kém- és adathalász appokat töltöttek fel az asszitensek alkalmazásboltjaiba.

Mindkét vállalat szóvivője azt nyilatkozta a Business Insidernek, hogy a kutatók jelzése után azonnal intézkedtek, egyrészt blokkolták a kiaknázott képességet, másrészt fel is készítették az asszisztenseiket arra, hogy az ilyen jellegű támadásokat felismerjék és megakadályozzák. Az adathalász támadással kapcsolatban az Amazon szóvivő hangsúlyozta: az Alexa automatikus biztonsági frissítéseket ad a készülékeihez, és azok telepítéséhez soha nem kér jelszót.

Bár a két vállalat gyorsan lépett, arra nincs garancia, hogy kiberbűnözők korábban nem használták ki ezeket a lehetőségeket.

Ártalmatlan appokkal támadtak

A német Security Research Labs (SRLabs) kutatói négy-négy kémkedésre is alkalmas kártevőt fejlesztett. A kutatók a kiberbűnözők bevált módszerét alkalmazták: a kártékony kódokat ártalmatlan appba építették. Jelen esetben horoszkópfelolvasóba és véletlenszám-generátorba rejtették a malware-eket, melyek funkciója a beszélgetések lehallgatása, illetve adathalász módszerekkel a felhasználók jelszavainak megszerzése volt. Az appok gond nélkül átmentek a biztonsági szűrőkön, és így bekerült az Assistant és az Alexa alkalmazásboltjába is.

A horoszkóp appok miután felolvasták a kért horoszkópot, látszólag kikapcsoltak, de valójában továbbra is aktívan figyelték és továbbították a vezérlő szerverekre – jelen esetben a kutatók gépeire – az asszisztens mikrofonja által vett hangokat. A jelszavakat olyan módszerrel próbálták ellopni, amit banki adatokat megszerzésére is gyakran használnak. Egyes alkalmazások az Alexát és az Assistantot utánozva szoftverfrissítést kínáltak fel, aminek telepítéséhez kérték a felhasználó jelszavát. (A banki phishing leveleknél a biztonság megerősítését célzó adategyeztetés ürügyén szoktak levélben kérni hozzáférési adatokat például egy hamisított űrlapon.)

A Security Research Labs a kísérletet angol és német nyelvű appokkal is elvégezte – mindkét esetben teljes sikerrel.
 

A Google Assistan lehallgatása

Így működik az adathalászat az Alexánál


A biztonsági kutatók mindkét asszisztensnél lényegében ugyanazt a módszert használták, aminek a lényege, hogy sikerült manipulálniuk azokat a kulcsszavakat, melyeket az asszisztensek parancsként értelmeznek, különös tekintettel az appokat indító és leállító "start" és "stop" szavakra. Így elérték, hogy az alkalmazások akkor is hallgatózzanak, ha leállásra kaptak parancsot. (A részletes folyamatot itt lehet elolvasni.)

Nincs száz százalékos biztonság

Általában is igaz, hogy nincs száz százalékos biztonság, de a digitális hangasszisztensek esetében ez különösen igaz. Az egyik alapprobléma, mint azt Frész Ferenc, a Cyber Services vezérigazgatója lapunknak a közelmúltban kifejtette, hogy az okos asszisztensek folyamatosan figyelnek – igaz, csak lokálisan. De ez a figyelés kell ahhoz, hogy valamilyen trigger pl. hangutasítás, gesztus, pozíció stb. hatására működésbe lépjenek, és kapcsolódnak egy távoli (felhős) rendszerhez. Enélkül nem is tudná az eszköz, hogy mikor kell aktiválódnia.

Ez új támadási vektorokat is jelent, melyek feltárásához még sok olyan kísérletre lesz szükség, mint amint a német SRLabs kutatócsapata elvégzett.

Biztonság

Szabadon kipróbálható a Google legfejlettebb videógeneráló modellje

A YouTube videók millióin pallérozott Veo 3 képességeit a Google Cloud részeként mostantól bárki letesztelheti.
 
Hirdetés

Így újult meg Magyarország leggyorsabb mobilhálózata

Közel 100 milliárd forintos beruházással, a rádiós és maghálózat teljes modernizációjával zárult le a Yettel történetének egyik legnagyobb műszaki fejlesztése.

A kompromittált rendszerek, a dark weben felbukkanó ügyféladatok vagy a zsarolóvírus-kampányok következményei már a vezérigazgatói és pénzügyi igazgatói irodában csapódnak le – jogi, reputációs és üzleti szinten is. Lehet és kell is védekezni ellene.

a melléklet támogatója a One Solutions

Hirdetés

Cyber Threat Intelligence: üzleti előny a sötét adatokból

Egyetlen kompromittált jelszó. Egy belépési pont, amit már nem használnak. Egy korábbi alkalmazott adatszivárgása. Ezek ma már nem csupán technikai hibák, hanem valós üzleti fenyegetések, amelyek a digitális alvilág piacán előbb bukkannak fel, mint ahogy a cég egyáltalán észrevenné.

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2025 Bitport.hu Média Kft. Minden jog fenntartva.