- Регистрация
- 22 Фев 2019
- Сообщения
- 1,191
- Баллы
- 0
- Веб-сайт
- opencard.pw
- Общие продажи
- 0$
- Общие покупки
- 0$
Прослушивать разговоры и осуществлять фишинговые атаки можно через бэкенд, предоставляемый разработчикам приложений Alexa и Home.
Злоумышленники могут использовать смарт-помощников Amazon Alexa и Google Home для прослушивания разговоров пользователей и фишингa.
С технической стороны атака не является новой. Ранее исследователи безопасности уже неоднократно находили аналогичные векторы для атак в Amazon Alexa (в апреле , мае и августе 2018 года) и Google Home (в мае 2018 года). Каждый раз Google и Amazon устраняли их, однако вскоре появлялись новые.
В воскресенье, 20 октября, специалисты из Security Research Labs (SRLabs) Луиза Фрерихс (Luise Frerichs) и Фабиан Бройнляйн (Fabian Brдunlein) рассказали об очередном методе, позволяющем перехватывать разговоры пользователей и осуществлять фишинговые атаки.
Оба вектора атак эксплуатируются через бэкенд, предоставляемый компаниями Google и Amazon разработчикам кастомизированных приложений Alexa и Home. Как обнаружили исследователи, путем добавления последовательности символов «U+D801, точка, пробел» в различные места в бэкенде обычного приложения Alexa/Google Home можно вызвать продолжительные периоды молчания, в ходе которого голосовой помощник остается активным.
Злоумышленники могут сообщить жертве, будто приложение перестало работать, внедрить вышеупомянутые символы и тем самым вызвать продолжительную паузу, а через несколько минут отправить жертве фишинговое уведомление, которое она никак не свяжет с «поломанным» приложением.
Как показано в видео ниже, приложение гороскоп прекращает работу, но остается активным, а затем просит у жертвы учетные данные для Amazon/Google под видом поддельных обновлений для Amazon/Google.
Та же последовательность символов может использоваться для прослушивания пользователей. Однако в данном случае она внедряется после того, как вредоносное приложение ответит на команду пользователя. Последовательность символов позволяет устройству оставаться активным и записывать разговор в журнал, который затем отправляется на подконтрольный злоумышленникам сервер для обработки.
Злоумышленники могут использовать смарт-помощников Amazon Alexa и Google Home для прослушивания разговоров пользователей и фишингa.
С технической стороны атака не является новой. Ранее исследователи безопасности уже неоднократно находили аналогичные векторы для атак в Amazon Alexa (в апреле , мае и августе 2018 года) и Google Home (в мае 2018 года). Каждый раз Google и Amazon устраняли их, однако вскоре появлялись новые.
В воскресенье, 20 октября, специалисты из Security Research Labs (SRLabs) Луиза Фрерихс (Luise Frerichs) и Фабиан Бройнляйн (Fabian Brдunlein) рассказали об очередном методе, позволяющем перехватывать разговоры пользователей и осуществлять фишинговые атаки.
Оба вектора атак эксплуатируются через бэкенд, предоставляемый компаниями Google и Amazon разработчикам кастомизированных приложений Alexa и Home. Как обнаружили исследователи, путем добавления последовательности символов «U+D801, точка, пробел» в различные места в бэкенде обычного приложения Alexa/Google Home можно вызвать продолжительные периоды молчания, в ходе которого голосовой помощник остается активным.
Злоумышленники могут сообщить жертве, будто приложение перестало работать, внедрить вышеупомянутые символы и тем самым вызвать продолжительную паузу, а через несколько минут отправить жертве фишинговое уведомление, которое она никак не свяжет с «поломанным» приложением.
Как показано в видео ниже, приложение гороскоп прекращает работу, но остается активным, а затем просит у жертвы учетные данные для Amazon/Google под видом поддельных обновлений для Amazon/Google.
Та же последовательность символов может использоваться для прослушивания пользователей. Однако в данном случае она внедряется после того, как вредоносное приложение ответит на команду пользователя. Последовательность символов позволяет устройству оставаться активным и записывать разговор в журнал, который затем отправляется на подконтрольный злоумышленникам сервер для обработки.
