Безопасность Amazon Alexa и Google Home по-прежнему оставляет желать лучшего

Спустя два месяца после того, как исследователи безопасности представили новый способ прослушивания разговоров пользователей Amazon Alexa и Google Home, эти же исследователи обнаружили, что Amazon и Google так и не исправили проблему.

Напомним , в октябре специалисты компании Security Research Labs (SRLabs) продемонстрировали, как смарт-помощники могут использоваться преступниками для прослушки разговоров, фишинга и похищения паролей. По состоянию на декабрь ничего так и не изменилось, сообщает управляющий директор SRLabs Карстен Нол (Karsten Nohl). Во вторник, 17 декабря, исследователи опубликовали видео, в котором продемонстрировали, что представленная ими два месяца назад атака по-прежнему работает.

По словам Нола, хотя Amazon и Google добавили в свои смарт-помощники функцию ручной проверки на фишинг, эта мера малоэффективна, поскольку не предотвращает загрузку вредоносных приложений. Через несколько дней использования функции исследователям удалось отключить вредоносные приложения, однако их оказалось очень просто загрузить снова, без всякой проверки, с тем же вредоносным функционалом.

Amazon, со своей стороны, действительно привнесла несколько модификаций с целью усложнить задачу атакующим, но, по словам Нола, эти модификации «до смешного неэффективны», пишет Threat Post. Например, Amazon заблокировала возможность перезаписывать намерение «Стоп», однако благодаря этому намерение «Стоп» злоумышленника теперь может существовать параллельно с первоначальным. Другими словами, намерение остановки может быть перезаписано хакерами примерно в 50% случаев.

Amazon также заблокировала команду, используемую для блокировки последовательности символов (U + D801), из-за которой устройства Alexa замолкают. Тем не менее, остаются десятки других непроизносимых символов, которые также можно использовать для этого трюка, поэтому блокирование только одного из них не имеет смысла.