חוקרי אבטחה מחברת Security Research Labs הגרמנית הציגו פרצת אבטחה חדשה בתחום העוזרות הקוליות בה נעשה שימוש בסקיל (Skill) זדוני שמסוגל לא רק להאזין למשתמש בזמן שהוא חושב שהעוזרת הקולית איננה פעילה, אלא גם לבצע הונאת פישינג על ידי בקשה של פרטים אישיים מהמשתמש במסווה של בקשה שגרתית.
צריך להדגיש כי שתי דרכי הפעולה של הפורצים מתבססות על כך כי המשתמש התקין סקיל זדוני שנוצר במסווה של סקיל רגיל שנועד להוסיף יכולת מורחבת לעוזרת הקולית, מעבר ליכולות המובנות שנוצרו על ידי גוגל ואמזון במקור.
נכון לעת זו בעיית האבטחה מתייחסת רק לאלכסה (Alexa) של אמזון ו-Google Assistant של גוגל.
בשני המקרים הסקיל הזדוני יוצר הפסקה ארוכה בזמן ההמתנה לתגובה מהמשתמש, מה שמאפשר לו לרוץ ברקע בזמן שהמשתמש חושב שהסקיל סיים את הפעולה שלו לאחר ההפעלה. ההפסקה הארוכה מאפשרת לסקיל להאזין לשיחות אותן המשתמש מבצע לאחר שהוא חשב שהסקיל סיים את הפעולה ונסגר, או לחילופין, לנסות ולבצע הונאת פישינג על ידי בקשה של פרטים אישיים דוגמת סיסמאות, כאשר הוא מסווה את עצמו בתור מערכת העוזרת הקולית עצמה ולא כסקיל נפרד.
פרצת האבטחה החדשה רלוונטית כאמור רק למוצרים המשתמשים באלכסה ובגוגל אסיסטנט לאור היכולות הנרחבות ששתי המערכות מאפשרות למתכנתים ביצירת הסקילים, כאשר מערכת ה-HomePod החכמה של אפל (Apple) חסינה אליהן דרך ממשק הסירי (Siri), לאור הגישה המוגבלת יותר של המערכת למתכנתים.
בעוד לא מדובר על פרצת האבטחה הראשונה או האחרונה בתחום העוזרות הקוליות, זהו משחק תמידי של חתול ועכבר, בדומה לפרצות אבטחה במכשירי הסלולר והמחשב, כאשר במקרה המדובר הסכנה קיימת רק במידה והותקן סקיל זדוני על ידי המשתמש ולא בפגם מובנה בעוזרת הקולית עצמה.
עוקבים? כל החדשות מגאדג'טי
חלק מהפוסטים באתר כוללים קישורי תכניות שותפים, עבורם נקבל עמלה עם ביצוע רכישה בפועל של מוצרים. עמלה זו לא מייקרת את העלות הסופית של המוצרים עבורכם.
הסקירות והתכנים המופיעים באתר מהווים המלצה בלבד, וכך יש להתייחס אליהם. כל המחירים המופיעים באתר נכונים ליום הפרסום בלבד והאחריות לקניית מוצר או שירות כזה או אחר מוטלת עליך בלבד – השימוש באתר בהתאם לתנאי השימוש והפרטיות.