NộI Dung

• Mật khẩu lừa đảo bằng giọng nói trên loa Amazon Echo và Google Home
• Nghe lén người dùng thông qua loa Amazon Echo và Google Home

Chúng tôi biết Google và Amazon lắng nghe người dùng của họ thông qua loa thông minh Echo và Home được kích hoạt bằng giọng nói. Tuy nhiên, một nhóm các nhà nghiên cứu bảo mật hiện đã chứng minh làm thế nào các ứng dụng của bên thứ ba có thể dễ dàng nghe lén người dùng và thông tin nhạy cảm bằng giọng nói như mật khẩu.

Các nhà nghiên cứu tại Đức SRL SRLabs đã tìm thấy hai kịch bản hack - nghe lén và lừa đảo - cho cả thiết bị Amazon Alexa và Google Home / Nest. Họ đã tạo ra tám ứng dụng giọng nói (Kỹ năng cho Alexa và Hành động cho Google Home) để chứng minh các bản hack biến những chiếc loa thông minh này thành gián điệp thông minh. Các ứng dụng giọng nói độc hại được tạo bởi SRLabs dễ dàng vượt qua các quy trình sàng lọc riêng lẻ của Amazon và Google.

Các cách tiếp cận khác nhau đã được sử dụng để nghe lén người dùng Amazon Alexa và Google Home và để lừa đảo thông tin từ họ. Các nhà nghiên cứu đã có thể thay đổi chức năng của các kỹ năng và Hành động mà họ đã tạo để hack sau khi Amazon và Google phê duyệt các ứng dụng. Không có vòng đánh giá thứ hai nào được nhắc sau khi những thay đổi nói trên được thực hiện.

Mật khẩu lừa đảo bằng giọng nói trên loa Amazon Echo và Google Home

Trong video dưới đây, bạn thấy cách người dùng yêu cầu Alexa bắt đầu một kỹ năng có tên Tử vi may mắn của tôi. Đây là một kỹ năng độc hại của Alexa được tạo ra và sửa đổi bởi SRLabs để lừa đảo lấy mật khẩu.

Ứng dụng không chào đón và thay vào đó, trả lời rằng, Kỹ năng này hiện không có sẵn ở quốc gia của bạn. Lúc này, người dùng sẽ cho rằng ứng dụng đã ngừng nghe, nhưng nó thực sự không có. Thay vào đó, kỹ năng này đã bị hack để nói một chuỗi ký tự mà Alexa không thể phát âm, do đó người nói vẫn im lặng khi nó thực sự dừng lại và lắng nghe.

Kỹ năng này sau đó phát một câu nói lừa đảo, Một bản cập nhật mới có sẵn cho thiết bị Alexa của bạn. Vui lòng nói bắt đầu bằng mật khẩu của bạn. Trong khi Amazon không bao giờ yêu cầu mật khẩu theo cách này, người dùng không biết có thể bị mất cảnh giác.

Một cách tiếp cận tương tự đã được sử dụng cho mật khẩu lừa đảo bằng giọng nói trên loa Google Home Mini.

Nghe lén người dùng thông qua loa Amazon Echo và Google Home

Để nghe lén, các nhà nghiên cứu đã sử dụng ứng dụng tử vi tương tự cho loa thông minh Amazon. Ứng dụng lừa người dùng tin rằng nó đã bị dừng trong khi nó im lặng lắng nghe trong nền.

Đối với Google Home, việc hack thậm chí còn dễ dàng hơn và không cần chỉ định các từ kích hoạt để nghe lén. Các nhà nghiên cứu lưu ý rằng trong trường hợp này, người dùng bị đặt trong một vòng lặp khi thiết bị liên tục gửi tín hiệu đầu vào bằng giọng nói đến máy chủ hacker trong khi đưa ra các khoảng im lặng ngắn ở giữa.

SRLabs đã gỡ bỏ tất cả các ứng dụng được demo trong các video hiển thị ở trên. Các nhà nghiên cứu cũng báo cáo phát hiện của họ cho Amazon và Google.

Theo Ars Technica, cả hai công ty đã phản ứng bằng cách nói rằng họ đang thay đổi quy trình phê duyệt và áp dụng các cơ chế bổ sung để tránh những vụ hack như vậy trong tương lai.

Tuy nhiên, không có bản cập nhật nào từ Amazon hoặc Google để nói khi nào các vấn đề này sẽ được khắc phục. Ở đó, Lừa cũng không có cách nào để biết liệu một kỹ năng hay hành động đã lạm dụng những sơ hở này trong quá khứ.