פרצת אבטחה מאפשרת האזנה למשתמשים במוצרים מבוססי עוזרות קוליות

חוקרי אבטחה מחברת Security Research Labs הגרמנית הציגו פרצת אבטחה חדשה בתחום העוזרות הקוליות בה נעשה שימוש בסקיל (Skill) זדוני שמסוגל לא רק להאזין למשתמש בזמן שהוא חושב שהעוזרת הקולית איננה פעילה, אלא גם לבצע הונאת פישינג על ידי בקשה של פרטים אישיים מהמשתמש במסווה של בקשה שגרתית.

צריך להדגיש כי שתי דרכי הפעולה של הפורצים מתבססות על כך כי המשתמש התקין סקיל זדוני שנוצר במסווה של סקיל רגיל שנועד להוסיף יכולת מורחבת לעוזרת הקולית, מעבר ליכולות המובנות שנוצרו על ידי גוגל ואמזון במקור.

נכון לעת זו בעיית האבטחה מתייחסת רק לאלכסה (Alexa) של אמזון ו-Google Assistant של גוגל.

בשני המקרים הסקיל הזדוני יוצר הפסקה ארוכה בזמן ההמתנה לתגובה מהמשתמש, מה שמאפשר לו לרוץ ברקע בזמן שהמשתמש חושב שהסקיל סיים את הפעולה שלו לאחר ההפעלה. ההפסקה הארוכה מאפשרת לסקיל להאזין לשיחות אותן המשתמש מבצע לאחר שהוא חשב שהסקיל סיים את הפעולה ונסגר, או לחילופין, לנסות ולבצע הונאת פישינג על ידי בקשה של פרטים אישיים דוגמת סיסמאות, כאשר הוא מסווה את עצמו בתור מערכת העוזרת הקולית עצמה ולא כסקיל נפרד.

פרצת האבטחה החדשה רלוונטית כאמור רק למוצרים המשתמשים באלכסה ובגוגל אסיסטנט לאור היכולות הנרחבות ששתי המערכות מאפשרות למתכנתים ביצירת הסקילים, כאשר מערכת ה-HomePod החכמה של אפל (Apple) חסינה אליהן דרך ממשק הסירי (Siri), לאור הגישה המוגבלת יותר של המערכת למתכנתים.

בעוד לא מדובר על פרצת האבטחה הראשונה או האחרונה בתחום העוזרות הקוליות, זהו משחק תמידי של חתול ועכבר, בדומה לפרצות אבטחה במכשירי הסלולר והמחשב, כאשר במקרה המדובר הסכנה קיימת רק במידה והותקן סקיל זדוני על ידי המשתמש ולא בפגם מובנה בעוזרת הקולית עצמה.

מקורות
9to5mac
zdnet
srlabs
במאגר הקופונים שלנו כבר ביקרתם?
סמארטפונים וגאדג'טים במחירים נוחים ובמשלוח ישיר עד הבית
לחצו כאן
תגובות לכתבה
גאדג'טי | Gadgety
ניווט באתר
קטגוריות
גאדג'טי
חיפוש כתבות