Kémappokkal fertőzték meg Google Assistantot és az Alexát. A két cég javította a kihasznált hibát, de...

Etikus hekkerek kísérletileg is bizonyították, hogyan lehet meghekkelni a két legelterjedtebb intelligens hangalapú asszisztenst, a Google Assistantot és az Amazon Alexáját – számolt be a Business Insider. Működő kém- és adathalász appokat töltöttek fel az asszitensek alkalmazásboltjaiba.

Mindkét vállalat szóvivője azt nyilatkozta a Business Insidernek, hogy a kutatók jelzése után azonnal intézkedtek, egyrészt blokkolták a kiaknázott képességet, másrészt fel is készítették az asszisztenseiket arra, hogy az ilyen jellegű támadásokat felismerjék és megakadályozzák. Az adathalász támadással kapcsolatban az Amazon szóvivő hangsúlyozta: az Alexa automatikus biztonsági frissítéseket ad a készülékeihez, és azok telepítéséhez soha nem kér jelszót.

Bár a két vállalat gyorsan lépett, arra nincs garancia, hogy kiberbűnözők korábban nem használták ki ezeket a lehetőségeket.

Ártalmatlan appokkal támadtak

A német Security Research Labs (SRLabs) kutatói négy-négy kémkedésre is alkalmas kártevőt fejlesztett. A kutatók a kiberbűnözők bevált módszerét alkalmazták: a kártékony kódokat ártalmatlan appba építették. Jelen esetben horoszkópfelolvasóba és véletlenszám-generátorba rejtették a malware-eket, melyek funkciója a beszélgetések lehallgatása, illetve adathalász módszerekkel a felhasználók jelszavainak megszerzése volt. Az appok gond nélkül átmentek a biztonsági szűrőkön, és így bekerült az Assistant és az Alexa alkalmazásboltjába is.

A horoszkóp appok miután felolvasták a kért horoszkópot, látszólag kikapcsoltak, de valójában továbbra is aktívan figyelték és továbbították a vezérlő szerverekre – jelen esetben a kutatók gépeire – az asszisztens mikrofonja által vett hangokat. A jelszavakat olyan módszerrel próbálták ellopni, amit banki adatokat megszerzésére is gyakran használnak. Egyes alkalmazások az Alexát és az Assistantot utánozva szoftverfrissítést kínáltak fel, aminek telepítéséhez kérték a felhasználó jelszavát. (A banki phishing leveleknél a biztonság megerősítését célzó adategyeztetés ürügyén szoktak levélben kérni hozzáférési adatokat például egy hamisított űrlapon.)

A Security Research Labs a kísérletet angol és német nyelvű appokkal is elvégezte – mindkét esetben teljes sikerrel.
 

A Google Assistan lehallgatása

Így működik az adathalászat az Alexánál


A biztonsági kutatók mindkét asszisztensnél lényegében ugyanazt a módszert használták, aminek a lényege, hogy sikerült manipulálniuk azokat a kulcsszavakat, melyeket az asszisztensek parancsként értelmeznek, különös tekintettel az appokat indító és leállító "start" és "stop" szavakra. Így elérték, hogy az alkalmazások akkor is hallgatózzanak, ha leállásra kaptak parancsot. (A részletes folyamatot itt lehet elolvasni.)

Nincs száz százalékos biztonság

Általában is igaz, hogy nincs száz százalékos biztonság, de a digitális hangasszisztensek esetében ez különösen igaz. Az egyik alapprobléma, mint azt Frész Ferenc, a Cyber Services vezérigazgatója lapunknak a közelmúltban kifejtette, hogy az okos asszisztensek folyamatosan figyelnek – igaz, csak lokálisan. De ez a figyelés kell ahhoz, hogy valamilyen trigger pl. hangutasítás, gesztus, pozíció stb. hatására működésbe lépjenek, és kapcsolódnak egy távoli (felhős) rendszerhez. Enélkül nem is tudná az eszköz, hogy mikor kell aktiválódnia.

Ez új támadási vektorokat is jelent, melyek feltárásához még sok olyan kísérletre lesz szükség, mint amint a német SRLabs kutatócsapata elvégzett.

Biztonság

Az idén már 5,4 milliárd szabálytalan Facebook-fiók ment a levesbe

A hatalmas számokból az is kiderül, hogy a Facebook automatizált szűrői egyre hatékonyabbak a kamu profilokkal és a felhasználásis szabályokat sértő tartalmakkal szemben.
 
A 21. századi vállalatok legjobbika is csak félkarú óriás informatika nélkül, rugalmasság és hatékonyság tekintetében azonban jelentősek a különbségek ezen a téren. Vajon az évtized végén hogyan néz ki egy jól működő IT szervezet?

a melléklet támogatója az Invitech

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Az Oracle átáll a féléves verzió-életciklusra, és megszünteti az ingyenes támogatást üzleti felhasználóknak. Mire kell felkészülni? Dr. Hegedüs Tamás licencelési tanácsadó (IPR-Insights Hungary) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2019 Bitport.hu Média Kft. Minden jog fenntartva.