Jakiś czas temu słyszeliśmy o przypadku w którym Amazon Alexa nagrała rozmowę/kłótnię dwójki ludzi i wysłała ją do ich znajomych. Jak dowodzą badacze z kilku amerykańskich uniwersytetów urządzenia Virtual Personal Assistants (w skrócie VPA), do których można zaliczyć Alexe oraz Asystenta Googla, stanowią całkiem ciekawy wektor ataku. Poniżej kilka przykładów, jak można by było takie urządzenie wykorzystać w celach niekoniecznie zgodnych z prawem.
#1 – Jedno VPA, by rządzić innymi
Urządzenia VPA nie rozpoznają czy polecenia wymiawia człowiek czy inny komputer np tłumacz googlowy – więc teoretycznie można by było stworzyć sytuację w której maszyna wydawała by polecenia innej maszynie.
#2 – VPA jako podsłuch
Amazon udostępnił Alexa Skill Blueprints – zestaw narzędzi pozwalających niezależnym programistą na tworzenie własnego oprogramowania pod Alexe. To daje możliwość stworzenia złośliwego oprogramowania, które – oprócz robienia pożytecznych rzeczy – będzie “wyłapywało” konkretne słowa i przekazywało jej przestępcą.
#3 – VPA nie słyszy dokładnie
Dla człowieka “Capital One please” i “Capital One Police” to dwa różne sformułowania. Dla Alexy (jeszcze) nie. Oznacza to, że można rzeczywistym poleceniem uruchomić np. dodatkowo złośliwą aplikację o podobnie brzmiącej nazwie. To prosty ale nadal skuteczna metoda znana np. z przypadków stron internetowych. Tam wystarczy jedna litera różnicy w nazwie, aby przecięty człowiek tego nie zauważył.
Źródło: Understanding and Mitigating the Security Risks of Voice-Controlled Third-Party Skills on Amazon Alexa and Google Home, Google
—
Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.
