Уязвимост в Google Home и Amazon Echo могат да дадат достъп на хакери до личните ви разговори

1
240

Най-малко осем приложения за подслушване са заобиколили механизма за проверка на безопасността на приложенията на платформите Google и Amazon, сочи ново проучване.

Въпросните приложения се предлагат за изтегляне в платформите на услугите на двете технологични компании и могат да дадат достъп до личните разговори и информация на нищо неподозиращи жертви, посредством техните интелигентни домашни асистенти Google Home или Amazon Echo.

Както съобщават от Ars Technica, изследователи в кибер колективна лаборатория за проучване на сигурността (SRLabs) са разработили четири инструмента за Google Home и също толкова за Alexa, които на пръв поглед изглеждат безобидни приложения – услуги за проверка на личния хороскоп, генериране на произволни числа, но същевременно основната им идея е била да фишират пароли и да шпионират потребителските разговори.

Всички тези приложения успешно са преминали през проверките за сигурност в маркетите на Google и Amazon и са били публикувани успешно за изтегляне от потребителите.

Когато някой иска да се запознае с дневния си хороскоп, приложенията за подслушване са предоставили очакваната информация. След предоставяне на нужната информация и затваряне на приложението, то остава да работи на заден план. По този начин са регистрирани десетки потребителски разговори, които са били препращани до злонамерен сървър на трети страни.

Три от четирите приложения са били разработени така, че когато жертвата ги отвори на своето устройство, те да визуализират грешка, че услугата не е налична в региона на потребителя. Междувременно те остават да работят на заден план. След кратка паузата, приложенията ще възпроизведат записано съобщение с глас подобен на този на Google Home или Alexa, за да информира потребителя, че е наличва актуализация, а след което да поиска той да изговори паролата си.

Има ли реална заплаха извън лабораторната среда?

Наскоро изследователи от Sophos идентифицираха няколко приложения в Google Play Store, които са използвали подобен трик – да генерират фалшиви съобщения за грешки, докато продължават да се изпълняват на заден план и да извършват злонамерени операции – но потребителите още по-малко очакват такъв злонамерен софтуер да бъде разпространяван и за интелигентните домашни устройства.

SRLabs докладват за своите открития на Amazon и Google, като и двете компании премахват техните експериментално разработени приложения от маркетите си и обещават, че ще затегнат контрола и процесите за оценка в бъдеще, за да се уверят, че истински злонамерен софтуер, разработван от реални измамници, няма да може да заобиколи защити по този начин.

За сега е добре да следвате съветите на екипа на Sophos относно инсталиране на нови приложения: винаги четете рецензиите за тях и ги подреждайте, така че най-отгоре да виждате най-новите, тъй като злонамерените елементи в някои приложения, могат да бъдат добавени в последната налична за тях актуализация. Филтрирайте всякакви петзвездни рецензии без писмено описание или какъвто и да било текст, тъй като те най-вероятно са фалшиви и внимателно преглеждайте малките детайли.

Ако няколко потребителя са оставили негативна рецензия за дадено приложение, което обмисляте да използвате, то по-добре да го избягвате, тъй като има голяма вероятност то да е фалшиво.

1
ДОБАВИ КОМЕНТАР

avatar
1 Коментари
0 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
Зоро
Зоро

За хората които „нямат какво да крият“ тези неща не са проблем.