Poprzedni Następny

Virtual Personal Assistants (VPA) – uważajmy, co mówimy

Jakiś czas temu słyszeliśmy o przypadku w którym Amazon Alexa nagrała rozmowę/kłótnię dwójki ludzi i wysłała ją do ich znajomych. Jak dowodzą badacze z kilku amerykańskich uniwersytetów urządzenia Virtual Personal Assistants (w skrócie VPA), do których można zaliczyć Alexe oraz Asystenta Googla, stanowią całkiem ciekawy wektor ataku. Poniżej kilka przykładów, jak można by było takie urządzenie wykorzystać w celach niekoniecznie zgodnych z prawem.

#1 – Jedno VPA, by rządzić innymi

Urządzenia VPA nie rozpoznają czy polecenia wymiawia człowiek czy inny komputer np tłumacz googlowy – więc teoretycznie można by było stworzyć sytuację w której maszyna wydawała by polecenia innej maszynie.

#2 – VPA jako podsłuch

Amazon udostępnił Alexa Skill Blueprints – zestaw narzędzi pozwalających niezależnym programistą na tworzenie własnego oprogramowania pod Alexe. To daje możliwość stworzenia złośliwego oprogramowania, które – oprócz robienia pożytecznych rzeczy – będzie “wyłapywało” konkretne słowa i przekazywało jej przestępcą.

#3 – VPA nie słyszy dokładnie

Dla człowieka “Capital One please” i “Capital One Police” to dwa różne sformułowania. Dla Alexy (jeszcze) nie. Oznacza to, że można rzeczywistym poleceniem uruchomić np. dodatkowo złośliwą aplikację o podobnie brzmiącej nazwie. To prosty ale nadal skuteczna metoda znana np. z przypadków stron interentowych. Tam wystarczy jedna litera różnicy w nazwie, aby przecięty człowiek tego nie zauważył.

Źródło: Understanding and Mitigating the Security Risks of Voice-Controlled Third-Party Skills on Amazon Alexa and Google Home, Google

Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.

Podobne