Etikus hekkerek kísérletileg is bizonyították, hogyan lehet meghekkelni a két legelterjedtebb intelligens hangalapú asszisztenst, a Google Assistantot és az Amazon Alexáját – számolt be a Business Insider. Működő kém- és adathalász appokat töltöttek fel az asszitensek alkalmazásboltjaiba.

Mindkét vállalat szóvivője azt nyilatkozta a Business Insidernek, hogy a kutatók jelzése után azonnal intézkedtek, egyrészt blokkolták a kiaknázott képességet, másrészt fel is készítették az asszisztenseiket arra, hogy az ilyen jellegű támadásokat felismerjék és megakadályozzák. Az adathalász támadással kapcsolatban az Amazon szóvivő hangsúlyozta: az Alexa automatikus biztonsági frissítéseket ad a készülékeihez, és azok telepítéséhez soha nem kér jelszót.

Bár a két vállalat gyorsan lépett, arra nincs garancia, hogy kiberbűnözők korábban nem használták ki ezeket a lehetőségeket.

Ártalmatlan appokkal támadtak

A német Security Research Labs (SRLabs) kutatói négy-négy kémkedésre is alkalmas kártevőt fejlesztett. A kutatók a kiberbűnözők bevált módszerét alkalmazták: a kártékony kódokat ártalmatlan appba építették. Jelen esetben horoszkópfelolvasóba és véletlenszám-generátorba rejtették a malware-eket, melyek funkciója a beszélgetések lehallgatása, illetve adathalász módszerekkel a felhasználók jelszavainak megszerzése volt. Az appok gond nélkül átmentek a biztonsági szűrőkön, és így bekerült az Assistant és az Alexa alkalmazásboltjába is.

A horoszkóp appok miután felolvasták a kért horoszkópot, látszólag kikapcsoltak, de valójában továbbra is aktívan figyelték és továbbították a vezérlő szerverekre – jelen esetben a kutatók gépeire – az asszisztens mikrofonja által vett hangokat. A jelszavakat olyan módszerrel próbálták ellopni, amit banki adatokat megszerzésére is gyakran használnak. Egyes alkalmazások az Alexát és az Assistantot utánozva szoftverfrissítést kínáltak fel, aminek telepítéséhez kérték a felhasználó jelszavát. (A banki phishing leveleknél a biztonság megerősítését célzó adategyeztetés ürügyén szoktak levélben kérni hozzáférési adatokat például egy hamisított űrlapon.)

A Security Research Labs a kísérletet angol és német nyelvű appokkal is elvégezte – mindkét esetben teljes sikerrel.
 

A Google Assistan lehallgatása

Így működik az adathalászat az Alexánál

A biztonsági kutatók mindkét asszisztensnél lényegében ugyanazt a módszert használták, aminek a lényege, hogy sikerült manipulálniuk azokat a kulcsszavakat, melyeket az asszisztensek parancsként értelmeznek, különös tekintettel az appokat indító és leállító "start" és "stop" szavakra. Így elérték, hogy az alkalmazások akkor is hallgatózzanak, ha leállásra kaptak parancsot. (A részletes folyamatot itt lehet elolvasni.)

Nincs száz százalékos biztonság

Általában is igaz, hogy nincs száz százalékos biztonság, de a digitális hangasszisztensek esetében ez különösen igaz. Az egyik alapprobléma, mint azt Frész Ferenc, a Cyber Services vezérigazgatója lapunknak a közelmúltban kifejtette, hogy az okos asszisztensek folyamatosan figyelnek – igaz, csak lokálisan. De ez a figyelés kell ahhoz, hogy valamilyen trigger pl. hangutasítás, gesztus, pozíció stb. hatására működésbe lépjenek, és kapcsolódnak egy távoli (felhős) rendszerhez. Enélkül nem is tudná az eszköz, hogy mikor kell aktiválódnia.

Ez új támadási vektorokat is jelent, melyek feltárásához még sok olyan kísérletre lesz szükség, mint amint a német SRLabs kutatócsapata elvégzett.